Le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) est une enquête réalisée par la Cloud Security Alliance (CSA ou Alliance de la sécurité en nuage) pour aider à évaluer la sécurité des services en nuage.
La Cloud Security Alliance (CSA) a conçu le CAIQ pour élaborer des documents du secteur qui décrivent les contrôles de sécurité qui devraient exister dans différents services en nuage, tels que l’infrastructure-service (IaaS), la plateforme-service (PaaS) et les logiciels-services (SaaS).
La CSA a été fondée en 2008 en tant qu’autorité qui définit les normes, les pratiques exemplaires et la certification pour assurer la sécurité des environnements en nuage dans le monde entier. En tant que chef de file mondial des pratiques exemplaires en matière de nuage, la CSA œuvre à fournir des connaissances et des ressources essentielles conçues pour aider les clients du nuage, les fournisseurs, les entrepreneurs, les gouvernements et tout autre groupe qui utilise, fournit ou travaille avec des services d’informatique en nuage.
Alors que la dépendance au nuage n’a cessé d’augmenter, la CSA a reconnu que cette technologie en pleine expansion pouvait introduire des failles de sécurité majeures si elle n’était pas encadrée par des réglementations appropriées. La CSA s’est attelée à créer et à partager la documentation des normes les plus courantes du secteur et des contrôles de sécurité pour les services basés sur le nuage (IaaS, PaaS et SaaS). Le CAIQ offre aux organisations la transparence requise dans les tactiques, les technologies et les politiques utilisées par les fournisseurs de services en nuage pour protéger les données sensibles et gérer les risques.
Le CAIQ est essentiellement une enquête. La version 3.1 (la version la plus récente disponible) comprend 295 questions fermées destinées aux fournisseurs de services en nuage. Ces questions sont conçues pour donner aux consommateurs du nuage et aux auditeurs du nuage un aperçu du niveau de conformité du fournisseur aux réglementations et aux pratiques exemplaires établies. Une autre version, appelée CAIQ-Lite, offre une évaluation plus facile et légèrement moins approfondie à l’aide d’environ 70 questions, conçues pour les professionnels de la cybersécurité et les modèles d’approvisionnement en nuage.
Pour faire simple, en utilisant un questionnaire standardisé, les équipes de gestion du risque lié au fournisseur peuvent réduire les coûts tout en augmentant l’efficacité. Le CAIQ aide à protéger les utilisateurs du nuage contre les risques inutiles liés à la cybersécurité. Le CAIQ fournit également un service essentiel aux fournisseurs de services en nuage. Les fournisseurs peuvent utiliser le CAIQ pour en savoir plus sur leur sécurité et présenter efficacement ces offres aux clients en utilisant un ensemble standardisé de termes et de concepts.
Travailler avec des fournisseurs de services en nuage de tierce partie comporte toujours certains risques. En confiant les données et les processus essentiels à des groupes en dehors de l’environnement contrôlé de l’entreprise, les utilisateurs du nuage perdent la capacité d’assurer directement une mise en œuvre adéquate de la sécurité. Même les fournisseurs de services en nuage les plus fiables peuvent échouer dans certains domaines, et les organisations doivent comprendre où ces défaillances sont susceptibles de se produire, et quelles faiblesses peuvent être inhérentes aux solutions en nuage du fournisseur.
Le CAIQ évalue la sécurité des fournisseurs de services en nuage et vise à créer des normes communes et acceptées de l’industrie en matière de documentation. Cela permet aux organisations de comprendre et d’évaluer les fournisseurs de services en nuage, ainsi que leur posture en matière de sécurité, avant de conclure une entente.
Comme nous l’avons déjà mentionné, le CAIQ est composé de 295 questions qu’un consommateur ou un auditeur du nuage peut poser à un fournisseur pour en savoir plus sur sa conformité à la matrice des contrôles du nuage (CCM). Les consommateurs peuvent adapter le questionnaire pour mieux répondre à leurs besoins et à leurs préoccupations et cas d’utilisation particuliers, en révisant ou en éliminant des questions au besoin.
La CCM est une infrastructure de contrôle pour la cybersécurité utilisée pour l’informatique en nuage. Elle est composée de 133 objectifs structurés autour de 16 domaines. Les 16 domaines sont les suivants :
- Sécurité des applications et des interfaces
- Assurance et conformité des audits
- Gestion de la continuité des activités et résilience opérationnelle
- Contrôle des changements et gestion des configurations
- Sécurité des données et gestion du cycle de vie de l’information
- Sécurité des centres de données
- Chiffrage et gestion des clés
- Gouvernance et gestion des risques
- Sécurité des ressources humaines
- Gestion des identités et des accès
- Infrastructure et virtualisation
- Interopérabilité et portabilité
- Sécurité mobile
- Gestion des incidents de sécurité, investigation informatique et criminalistique du nuage
- Gestion de chaîne d’approvisionnement, transparence et responsabilité
- Gestion des menaces et des vulnérabilités
La CCM peut être utilisée comme outil pour évaluer systématiquement la mise en œuvre du nuage en fournissant des conseils sur les contrôles de sécurité qui doivent être mis en œuvre par un acteur précis de la chaîne d’approvisionnement en nuage. L’infrastructure des contrôles est conforme aux directives de sécurité v4 et est actuellement considérée comme une norme de facto pour l’assurance et la conformité de la sécurité en nuage. Avec la CCM, les fournisseurs peuvent faire ce qui suit :
- Renforcer les environnements de contrôle de la sécurité de l’information :
décrit les directives par fournisseurs de services et clients, qui se distinguent en fonction du type de modèle de nuage et de son environnement. - Réduire la complexité des audits :
les contrôles renvoient aux réglementations de sécurité, aux infrastructures de contrôle et aux normes du secteur. L’exécution des contrôles de la CCM respecte les normes et règlements qui l’accompagnent, au niveau du point de mappage. - Normaliser les attentes en matière de sécurité :
offre une taxonomie, une sécurité et une terminologie du nuage partagées mises en œuvre dans un nuage.
Security, Trust, Assurance, and Risk (STAR) (sécurité, confiance, assurance et risque) est un registre accessible au public qui documente les contrôles de confidentialité et les programmes de sécurité de l’informatique en nuage. Ce programme englobe les principes d’audit, d’harmonisation et de transparence des normes, tels que décrits dans le CAIQ et la CCM.
Les organisations montrent à leurs clients (actuels et potentiels) leurs postures en matière de conformité et de sécurité et leur respect des règlements, des normes et des infrastructures. En fin de compte, cela réduit les complexités et évite d’avoir à remplir plusieurs questionnaires.