60 % des entreprises utilisent le Cloud ; comment se conformer à la réglementation ?

L’adoption et l’utilisation du Cloud dans les environnements professionnels augmentent et son avenir semble prometteur. Les dépenses des entreprises dans les services Cloud indiquent une hausse de cette tendance, puisqu’elles ont augmenté de 29 % en glissement annuel au deuxième trimestre. La migration vers le Cloud a introduit des changements dans la réglementation pour consolider la sécurité des données en fonction de la nature de l’entreprise.

Ainsi, la conformité Cloud est fondée sur une série de procédures et de pratiques qui garantissent qu’un environnement Cloud respecte une ou plusieurs normes de sécurité et de confidentialité spécifiques. Les frameworks  qui ont une incidence sur une entreprise donnée sont délimités par des facteurs tels que la juridiction dans laquelle elle exerce ses activités, l’industrie ou le secteur auquel elle appartient, et le nombre d’utilisateurs qu’elle compte.

Principales réglementations et leur incidence sur l’infrastructure du Cloud

• PCI DSS

La norme de sécurité des données du secteur d’activité relative aux cartes de paiement (Payment Card Industry Data Security Standard – PCI DSS) est un ensemble de conditions de sécurité pour les commerçants qui stockent ou traitent les données des titulaires de cartes dans le Cloud.

Parmi ses conditions figurent l’installation et la maintenance d’un firewall pour protéger les données dans le Cloud, et la mise en place d’une sécurité d’accès avancée en veillant à ce que les valeurs par défaut fournies par le fournisseur pour les mots de passe système et d’autres paramètres de sécurité soient modifiées. De même, elle requiert la protection des données des titulaires de cartes stockées et le chiffrement des données des titulaires de cartes qui circulent sur des réseaux publics ouverts. En outre, le suivi et la surveillance de tous les accès aux ressources du réseau et aux données des titulaires de cartes sont obligatoires.

Le non-respect des directives PCI DSS relatives au Cloud entraînera probablement la perte de la capacité de l’entreprise à traiter les transactions par carte de paiement.

• HIPAA

Ce règlement s’adresse aux entreprises qui traitent des renseignements personnels identifiables sur la santé. La règle de sécurité HIPAA du Department of Health and Human Services (HHS) des États-Unis exige que les entreprises protègent électroniquement les information sur la santé (e-PHI) en adoptant des mesures administratives, techniques et physiques raisonnables et appropriées.

Pour se conformer à la réglementation, le HHS établit quatre exigences spécifiques de stockage HIPAA. Premièrement, assurer la confidentialité, l’intégrité et la disponibilité de l’e-PHI grâce au chiffrement, à la protection par mot de passe et à d’autres mesures de protection. Deuxièmement, identifier et protéger contre les menaces raisonnablement prévisibles grâce à une surveillance régulière et à une analyse des risques. Troisièmement, prévenir les utilisations ou divulgations non autorisées qui peuvent être protégées par des protocoles de sécurité informatique, IAM, restriction d’accès physique et audits périodiques des processus internes. Enfin, assurer la conformité des membres de l’équipe grâce à une formation régulière et au respect des normes établies par HIPAA.

• RGPD

Le Règlement Général sur la Protection des Données (RGPD) est l’une des lois sur la protection des données les plus strictes et les plus largement appliquées au monde. Son objectif principal est de protéger les informations personnelles des entreprises et des particuliers dans l’Union européenne (UE).

RGPD exige la protection des données par conception et par défaut ; l’enregistrement des activités de traitement et le chiffrement des informations personnelles pour les données stockées et en transit.

De quelles solutions les entreprises ont-elles besoin pour se conformer à la réglementation ?

La plupart des frameworks de conformité décrivent leurs règles en des termes relativement génériques. Alors, comment les entreprises peuvent-elles s’assurer que leurs données sont protégées dans le Cloud et ainsi se conformer aux différentes réglementations auxquelles elles souscrivent ? Elles doivent intégrer des solutions de cybersécurité qui protègent le plus possible leurs environnements Cloud et les données de leurs clients :

• MFA : cette solution s’applique aux trois cadres de conformité détaillés ci-dessus. L’authentification multifacteur (MFA) est un incontournable pour toute entreprise désireuse de se conformer aux réglementations. Dans un récent sondage Pulse, les données ont révélé que 76 % des personnes interrogées considèrent qu’il s’agit de la meilleure solution à intégrer dans le Cloud pour renforcer la conformité.
• Visibilité : une autre exigence commune à toutes les réglementations est le besoin de visibilité et de surveillance de l’environnement Cloud, ce qui signifie qu’il est nécessaire d’utiliser une solution qui propose un reporting en temps réel. Cela permet aux entreprises d’avoir un véritable contrôle sur les données stockées de leurs clients.
• Firewall Cloud : cette technologie doit être utilisée pour répondre aux exigences des frameworks de conformité HIPAA et RGPD. Ses fonctions comprennent la nécessité pour les entreprises de chiffrer les données stockées et en transit et d’éliminer la possibilité d’une attaque potentielle par un malware.
• Wi-Fi : dans le cas de l’HIPAA et de la PCI DSS, il est essentiel d’utiliser une solution qui protège les connexions Wi-Fi, par exemple, dans les magasins ou les hôpitaux, car le fait de ne pas le faire permet aux pirates informatiques d’accéder au réseau. Une fois à l’intérieur du réseau d’entreprise, il leur est plus facile d’effectuer des mouvements latéraux qui leur permettent d’accéder aux environnements Cloud où se trouvent les données à protéger.

La conformité réglementaire est essentielle pour que les entreprises continuent à gérer leurs activités sans frictions. En déployant ces solutions, les entreprises peuvent suivre les réglementations tout en bénéficiant de tous les avantages du Cloud, sans se soucier de la sécurité qui pourrait entraîner des pertes de réputation et financières.