lundi 16 septembre 2019    || Inscription
BanniereNews
 
 

Certification ISO 27001…

AWS a obtenu la semaine dernière la certification ISO 27001 de son système de gestion de sécurité de l'information (SMSI). Cette certification couvre l’infrastructure des centres de données et des services, dont Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Virtual Private Cloud (Amazon VPC).

La certification ISO 27001 d’AWS comprend tous les centres de données AWS de toutes les régions du monde avec un programme formel afin de maintenir cette certification dans le temps.

AWS présente l’ISO 27001 et l’ISO 27002, non sans faire une certaine confusion entre ces 2 normes, comme étant largement utilisées par les entreprises et étant le garant du respect des exigences et des meilleures pratiques. AWS met en avant l’intérêt des évaluations périodiques des risques demandées par l’ISO 27001. « Cette certification », déclare AWS, « confirme l'engagement d'Amazon à assurer la transparence de ses contrôles de sécurité et de ses pratiques ».

… mais pas d’information sur l’appréciation des risques réalisée et la Déclaration d’Applicabilité

Le communiqué d’AWS ne fournit malheureusement pas d’information sur l’appréciation des risques qui a été faite pour obtenir cette certification. Il est en effet possible que la société ait accepté de très nombreux risques comme « risques résiduels » et n’ait apporté aucune couverture à ceux-ci. Dans ce cas, la certification n’apporterait aucune garantie sur le niveau de sécurité du système d’information. La certification ISO 27001 porte sur le Système de Gestion de la Sécurité, et non sur le niveau de sécurité de celui-ci. Rien n’est dit non plus sur le niveau de défense en profondeur mis en œuvre : une mesure de sécurité peut en effet être faillible et il peut être utile qu’une deuxième mesure couvrent ces possibles failles, voire une troisième et plus …

Le lien entre l’ISO 27001 et l’ISO 27002 établit dans la communication d’AWS n’est pas très rassurant non plus : « ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance ». L’ISO 27002 ne propose en effet que 133 mesures de sécurité, bonnes pratiques reconnues par la profession. Il est courant, pour des entreprises peu matures en SSI, de ne retenir que ces 133 mesures sans plus de questions ? Pourtant, la norme ISO 27001 précise dans son alinéa 4.2.1.g) que son annexe A, qui reprend les intitulés des bonnes pratiques de l’ISO 27002, ne constitue qu’une base de travail et n’est pas exhaustive. Dès lors, ne retenir que les mesures de sécurité « de base » peut démontrer une volonté d’avoir cherché à obtenir une certification « a minima » ? Cette suspicion pourrait toutefois être levée si AWS avait publié dans ses communiqués la Déclaration d’Applicabilité retenue pour faire certifier son SMSI.

Nous comprenons que les données de l’appréciation des risques, comme de la déclaration d’applicabilité peuvent comprendre des éléments que l’entreprise souhaite conserver comme confidentielles. Ne rien donner du tout paraît en revanche pas très sérieux. Cette critique peut d’ailleurs être formulée pour quasiment tous les hébergeurs affichant une certification ISO 27001… et avait été mise en évidence lors d’une table ronde animée par notre rédaction lors du FIC 2010 sur l’hébergement des données sensibles : www.fic2010.fr/pdf/2010/A8_donnees_sensibles.pdf .

Couplage avec d’autres certifications, dont le rapport SAS 70 type II et l’HIPPA

La réponse sur le niveau de sécurité proposée par AWS se trouve peut-être toutefois à un autre niveau. AWS déclare en effet réaliser un Statement on Auditing Standards No. 70 (SAS70) Type II tous les 6 mois et obtenir des avis favorables. Le SAS 70 est une norme datant d’avril 1992 et émanant de l’AICPA . Un rapport SAS 70 type II impose que l’efficacité des mesures de sécurité soit vérifiée scrupuleusement. Lors qu’une certification ISO 27001 se fait en quelques semaines, le rapport SAS 70 type II exige plusieurs mois d’audit à plusieurs auditeurs. Les règles d’échantillonnage pour réaliser un rapport SAS 70 type II sont en effet infiniment plus sévères que les règles de l’ISO 27001.

En France, peu d’hébergeurs ont mis en œuvre une telle certification en dehors peut-être d’Orange Business Services qui l’a initié.

AWS met clairement en avant cet atout complémentaire, plus commun aux Etats-Unis qu’en France où cette norme n’est souvent comprise, à tord, que comme étant « un truc pour les commissaires aux comptes et Sarbanes-Oxley ». Les grands hébergeurs français, et européens vont peut-être devoir courir un peu plus vite d’ici peu si leurs clients la leur demandaient …

AWS affiche par ailleurs une conformité aux exigences de sécurité des applications de soins de santé avec la norme HIPPA et ses différentes règles de confidentialité. Pour le marché européen, il ne lui reste plus qu’à prendre en compte les spécificités des réglementations et législations des différents pays. Il n’y a sans doute pas beaucoup de difficultés techniques à cela, peut-être une question de décision politique ? Le marché de l’hébergement des données de santé est colossale, il serait surprenant qu’il n’est pas à faire face aux enjeux de la mondialisation des économies …

Activité de veille en SSI

AWS propose par ailleurs une veille avec bulletins d’alertes, rapports de vulnérabilités et tests d’intrusion. Une démarche qui tend à fournir des assurances sur l’efficacité de son système de gestion de la sécurité de l’information.

AWS explique par ailleurs sa stratégie en matière de sécurité : http://media.amazonwebservices.com/pdf/AWS_Security_Whitepaper.pdf

 

http://media.amazonwebservices.com/Whitepaper_Security_Best_Practices_2010.pdf

Finalement, la certification ISO 27001 n’apparaît pas comme l’objectif majeur d’AWS, mais comme un élément de plus à présenter à ses clients : un outil marketing. C’est sans doute pour cela que peu d’informations sont données sur la réalisation de l’appréciation des risques et sur la Déclaration d’Applicabilité. La stratégie de communication va au-delà d’une seule norme de certification de l’entreprise !

Les clients ou prospects doivent donc travailler avec leurs fournisseurs pour s’assurer que la sécurité qui leur est proposée est la bonne … et le formuler contractuellement.

La question va se poser de savoir si nos hébergeurs européens vont rester à armes égales avec leurs grands concurrents nord américains ?

 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 9 au 12 octobre 2019. Organisées par DG Consultants.

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS