Programme AWS de gestion des risques et de la conformité - Amazon Web Services : Risques et conformité
Gestion des risques commerciaux AWSGestion opérationnelle et commerciale Environnement de contrôle et automatisationÉvaluation des contrôles et surveillance continue Certifications AWS, programmes, rapports et attestations d'organismes tiersCloud Security Alliance (CSA)

Programme AWS de gestion des risques et de la conformité

AWS a intégré un programme de gestion des risques et de la conformité dans l'ensemble de l'organisation. Ce programme vise à gérer les risques à toutes les étapes de la conception et du déploiement des services et à améliorer et réévaluer continuellement les activités liées aux risques de l'organisation. Les composants du programme intégré de gestion des risques et de la conformité d'AWS sont abordés plus en détail dans les sections suivantes.

Gestion des risques commerciaux AWS

AWS dispose d'un programme de gestion des risques commerciaux (BRM) qui s'associe aux unités commerciales AWS pour fournir au conseil d'administration et à la haute direction d'AWS une vue globale des risques clé au sein d'AWS. Le programme BRM démontre une surveillance indépendante des risques sur les fonctions AWS. Plus précisément, le programme BRM réalise les opérations suivantes :

  • Évalue et surveille les risques dans les domaines fonctionnels clé d'AWS

  • Identifie et pilote la remédiation des risques

  • Tient à jour un registre des risques connus

Pour favoriser la remédiation des risques, le programme BRM rend compte des résultats de ses efforts et, si nécessaire, en informe les directeurs et les vice-présidents de l'entreprise pour éclairer la prise de décisions commerciales.

Gestion opérationnelle et commerciale

AWS utilise une combinaison de réunions et de rapports hebdomadaires, mensuels et trimestriels pour, entre autres, garantir la communication des risques sur tous les composants du processus de gestion des risques. En outre, AWS met en œuvre un processus de remontée pour fournir une visibilité de la direction sur les risques hautement prioritaires au sein de l'organisation. Ensemble, ces efforts contribuent à garantir que les risques sont gérés de manière cohérente avec la complexité du modèle commercial AWS.

En outre, grâce à une structure de responsabilité en cascade, les vice-présidents (propriétaires d'entreprise) sont responsables de la surveillance de leur entreprise. À cette fin, AWS organise des réunions hebdomadaires pour examiner les métriques opérationnelles et identifier les risques et tendances clé avant qu'ils n'affectent l'activité.

Les cadres et dirigeants jouent un rôle essentiel dans la mise en place des valeurs essentielles à AWS et donnent le ton. Chaque employé se voit remettre le code de déontologie et d'éthique de l'entreprise, et doit régulièrement suivre une formation. Des audits de conformité sont réalisés afin que les employés comprennent et suivent les politiques mises en place.

L'organigramme d'AWS fournit un cadre pour la planification, l'exécution et le contrôle des opérations métier. Cet organigramme organisationnel inclut des rôles et des responsabilités afin de s'assurer d'une dotation en personnel adéquate, de l'efficacité des opérations et de la séparation des fonctions. La direction a également pris soin d'établir les rapports hiérarchiques appropriés pour les postes clés. Les procédures de vérification lors du recrutement de personnel pour la société incluent la vérification des diplômes, des emplois précédents et, dans certains cas, des antécédents, conformément à la législation et la réglementation en vigueur et en rapport avec les fonctions occupées et le niveau d'accès aux installations AWS. L'entreprise suit une démarche structurée d'accueil afin que les nouveaux employés se familiarisent avec les outils, les processus, les systèmes, les politiques et les procédures d'Amazon.

Environnement de contrôle et automatisation

AWS met en œuvre des contrôles de sécurité en tant qu'élément fondamental pour gérer les risques au sein de l'organisation. L'environnement de contrôle AWS comprend les normes, les processus et les structures qui fournissent la base pour la mise en œuvre d'un ensemble minimum d'exigences de sécurité sur AWS.

Alors que les processus et les normes inclus dans l'environnement de contrôle AWS sont autonomes, AWS exploite également certains aspects de l'environnement de contrôle global d'Amazon. Les outils exploités incluent :

  • Outils utilisés dans toutes les activités Amazon, tels que l'outil qui gère la séparation des tâches

  • Certaines fonctions commerciales à l'échelle d'Amazon, telles que les services juridiques, les ressources humaines et les finances

Dans les cas où AWS exploite l'environnement de contrôle global d'Amazon, les normes et les processus qui régissent ces mécanismes sont spécifiquement adaptés à l'activité d'AWS. Cela signifie que les attentes relatives à leur utilisation et à leur application au sein de l'environnement de contrôle AWS peuvent différer des attentes relatives à leur utilisation et à leur application dans l'environnement Amazon global. L'environnement de contrôle AWS sert finalement de base à la prestation sécurisée des offres de services AWS.

L'automatisation du contrôle permet à AWS de réduire l'intervention humaine dans certains processus récurrents comprenant l'environnement de contrôle AWS. Elle est essentielle à la mise en œuvre efficace du contrôle de la sécurité de l'information et à la gestion des risques. L'automatisation du contrôle vise à minimiser de manière proactive les incohérences potentielles dans l'exécution des processus qui pourraient survenir sous la forme d'erreurs humaines au cours de processus répétitifs. Grâce à l'automatisation du contrôle, les éventuels écarts de processus sont éliminés. Elle offre ainsi de meilleurs niveaux d'assurance qu'un contrôle appliqué tel qu'il a été conçu.

Les équipes d'ingénierie d'AWS pour l'ensemble des fonctions de sécurité sont responsables de l'ingénierie de l'environnement de contrôle AWS afin de prendre en charge de meilleurs niveaux d'automatisation du contrôle dès que possible. Voici des exemples de contrôles automatisés chez AWS :

  • Gouvernance et surveillance : gestion des versions et approbation des politiques

  • Gestion du personnel : offre de formation automatisée, licenciement rapide des employés

  • Gestion du développement et de la configuration : pipelines de déploiement de code, analyse du code, sauvegarde du code, test de déploiement intégré

  • Identity and Access Management : séparation automatisée des tâches, vérifications des accès, gestion des autorisations

  • Surveillance et journalisation : collecte et corrélation automatisées des journaux, alarmes

  • Sécurité physique : processus automatisés liés aux centres de données AWS, y compris la gestion du matériel, la formation à la sécurité des centres de données, les alarmes d'accès et la gestion des accès physiques

  • Analyse et gestion des correctifs : analyse automatique des vulnérabilités, gestion des correctifs et déploiement

Évaluation des contrôles et surveillance continue

AWS met en œuvre diverses activités avant et après le déploiement du service afin de réduire davantage les risques au sein de l'environnement AWS. Ces activités intègrent les exigences de sécurité et de conformité lors de la conception et du développement de chaque service AWS, puis valident que les services fonctionnent en toute sécurité après leur mise en production (lancement).

Les activités de gestion des risques et de la conformité comprennent deux activités préalables au lancement et deux activités postérieures au lancement. Les activités préalables au lancement sont les suivantes :

  • Évaluation de la gestion des risques liés à la sécurité des applications AWS pour vérifier que les risques de sécurité ont été identifiés et atténués

  • Évaluation de l'état de préparation de l'architecture pour aider les clients à garantir la conformité

Au moment de son déploiement, un service aura fait l'objet d'évaluations rigoureuses par rapport à des exigences de sécurité détaillées afin de répondre aux exigences élevées d'AWS en matière de sécurité. Les activités postérieures au lancement sont les suivantes :

  • Évaluation continue de la sécurité des applications AWS pour garantir le maintien de la posture de sécurité des services

  • Analyse continue de la gestion des vulnérabilités

Ces évaluations de contrôle et cette surveillance continue permettent aux clients réglementés de créer en toute confiance des solutions conformes sur les services AWS. Pour obtenir la liste des services concernés par les différents programmes de conformité, consultez la page web Services AWS concernés.

Certifications AWS, programmes, rapports et attestations d'organismes tiers

AWS fait régulièrement l'objet d'audits d'attestation tiers indépendants afin de garantir que les activités de contrôle fonctionnent comme prévu. Plus précisément, AWS fait l'objet d'un audit par rapport à divers cadres de sécurité mondiaux et régionaux en fonction de la région et du secteur d'activité. AWS participe à plus de 50 programmes d'audit différents.

Les résultats de ces audits sont documentés par l'organisme d'évaluation et mis à la disposition de tous les clients AWS via AWS Artifact. AWS Artifact est un portail en libre-service sans frais offrant un accès à la demande aux rapports de conformité AWS. Lorsque de nouveaux rapports sont publiés, ils sont mis à disposition dans AWS Artifact, ce qui permet aux clients de contrôler en permanence la sécurité et la conformité d'AWS avec un accès immédiat aux nouveaux rapports.

En fonction des exigences réglementaires ou contractuelles locales d'un pays ou d'un secteur d'activité, AWS peut également subir des audits directement auprès de clients ou d'auditeurs gouvernementaux. Ces audits fournissent une supervision supplémentaire de l'environnement de contrôle AWS afin de garantir que les clients disposent des outils nécessaires pour fonctionner en toute confiance, en conformité et en fonction des risques en utilisant les services AWS.

Pour plus d'informations sur les programmes de certification AWS, les rapports et les attestations tierces, consultez la page web du programme de conformité AWS. Vous pouvez également consulter la page web Services AWS concernés pour obtenir des informations spécifiques au service.

Cloud Security Alliance (CSA)

AWS participe bénévolement à l'auto-évaluation STAR (Security, Trust & Assurance Registry) de Cloud Security Alliance (CSA) afin de documenter sa conformité aux bonnes pratiques publiées par CSA. CSA est « la première organisation au monde dédiée à la définition et à la sensibilisation aux bonnes pratiques afin de garantir un environnement de cloud computing sécurisé » .Le CAIQ (Consensus Assessments Initiative Questionnaire) de CSA fournit un ensemble de questions anticipées par CSA qu'un client du cloud et/ou qu'un auditeur de cloud poserait à un fournisseur de cloud. Il inclut une série de questions sur la sécurité, les contrôles et les procédures qui peuvent servir à diverses fins, notamment pour choisir un fournisseur de cloud et en évaluer la sécurité.

Deux ressources sont mises à la disposition des clients pour documenter l'alignement d'AWS sur le CAIQ de CSA. La première est le livre blanc CAIQ de CSA et la deuxième est un mappage de contrôle plus détaillé avec nos contrôles SOC-2, disponible via AWS Artifact. Pour plus d'informations sur la participation d'AWS au CAIQ de CSA, veuillez consulter le site AWS CSA.