La Cloud Security Alliance (CSA) a conçu le CAIQ en vue de produire des documents sectoriels décrivant les contrôles de sécurité à inclure dans différents services dans le cloud, notamment les produits IaaS (infrastructure en tant que service), PaaS (plateforme en tant que service) et SaaS (logiciel en tant que service).

Quand le CAIQ a-t-il été créé ?

La CSA a été fondée en 2008 en tant qu’autorité chargée de définir les normes, les bonnes pratiques et la certification permettant de garantir la sécurité des environnements cloud dans le monde entier. Leader mondial des bonnes pratiques en matière de cloud, la CSA s’engage à fournir des connaissances et des ressources essentielles conçues pour les clients, les fournisseurs, les entrepreneurs, les gouvernements et tout autre groupe utilisant, fournissant ou travaillant avec des services de cloud computing.

Alors que la dépendance vis-à-vis du cloud n’a cessé de croître au cours de ce nouveau siècle, la CSA a reconnu que cette technologie en plein essor pourrait introduire des failles de sécurité majeures si elle était mise en œuvre sans aucune forme de réglementation. La CSA s’est donc donné pour mission de créer et partager la documentation des normes et contrôles de sécurité couramment acceptés pour les services basés sur le cloud (IaaS, PaaS et SaaS). Le CAIQ offre aux entreprises une transparence essentielle sur les tactiques, technologies et politiques utilisées par les fournisseurs de cloud pour protéger les données sensibles et gérer les risques.

Le CAIQ est essentiellement une enquête. La version 3.1 (la version la plus récente disponible) se compose de 295 questions Oui/Non adressées aux fournisseurs de services cloud. Ces questions sont conçues pour donner aux consommateurs et aux auditeurs du cloud un aperçu de la conformité du fournisseur aux réglementations et bonnes pratiques établies. Une autre version, appelée CAIQ-Lite, fournit une évaluation plus facile et légèrement moins approfondie à l’aide d’environ 70 questions. Elle a été conçue pour les professionnels de la cybersécurité et les modèles d’acquisition de services cloud.

Autrement dit, en utilisant un questionnaire standardisé, les équipes de gestion des risques fournisseurs peuvent réduire les coûts tout en augmentant l’efficacité. Le CAIQ permet de protéger les utilisateurs du cloud contre les risques de cybersécurité inutiles. Le CAIQ fournit également un service essentiel aux fournisseurs de cloud, qui peuvent l’utiliser pour renforcer leur sécurité et présenter efficacement ces offres aux clients à l’aide d’un ensemble standardisé de termes et de concepts.

Travailler avec des fournisseurs de cloud tiers comporte toujours un certain risque. En confiant des données et des processus essentiels à des groupes extérieurs à l’environnement contrôlé de l’entreprise, les utilisateurs du cloud perdent la capacité d’assurer directement une mise en œuvre adéquate de la sécurité. Même les fournisseurs de cloud les plus fiables peuvent échouer dans certains domaines, et les entreprises doivent comprendre où ces défaillances sont susceptibles de se produire et quelles faiblesses peuvent être inhérentes aux solutions de cloud du fournisseur.

Le CAIQ évalue la sécurité des fournisseurs de services cloud et vise à créer des normes communes et acceptées dans le secteur à des fins de documentation. Cela permet aux entreprises de comprendre et d’évaluer les fournisseurs de services cloud, ainsi que leur stratégie de sécurité, avant de conclure un accord commercial.

Comme mentionné précédemment, le CAIQ complet se compose de 295 questions qu’un consommateur ou auditeur de services cloud peut envisager de poser à un fournisseur afin de recueillir des informations sur sa conformité à la Cloud Control Matrix (CCM). Les consommateurs souhaiteront peut-être personnaliser le questionnaire pour mieux répondre à leurs besoins, à leurs préoccupations et à des cas d’utilisation spécifiques, en modifiant ou en supprimant des questions si nécessaire.

Qu’est-ce que la Cloud Controls Matrix (CCM) ?

La CCM est un cadre de contrôle de la cybersécurité utilisé pour le cloud computing. Elle se compose de 133 objectifs structurés autour de 16 domaines, qui sont :

• Sécurité des applications et des interfaces 
• Vérification et conformité des audits 
• Gestion de la continuité d’activité et résilience opérationnelle 
• Contrôle des changements et gestion des configurations 
• Sécurité des données et gestion du cycle de vie des informations 
• Sécurité du centre de données 
• Chiffrement et gestion des clés 
• Gouvernance et gestion des risques 
• Sécurité des ressources humaines 
• Gestion des identités et des accès 
• Infrastructure et virtualisation 
• Interopérabilité et portabilité  
• Sécurité mobile 
• Gestion des incidents de sécurité, E-Disc et Cloud Forensics 
• Gestion de la chaîne d’approvisionnement, transparence et responsabilité 
• Gestion des menaces et des vulnérabilités

Comment la CCM est-elle utilisée ?

La CCM peut être utilisée comme un outil pour évaluer systématiquement la mise en œuvre du cloud, en fournissant des conseils sur les contrôles de sécurité que tel ou tel acteur de la chaîne d’approvisionnement du cloud doit implémenter. Le cadre de contrôle est conforme à la Directive de sécurité v4 et est actuellement considéré comme une norme de facto pour la sécurité et la conformité du cloud. Avec la CCM, les fournisseurs peuvent effectuer les opérations suivantes :

• Renforcer les environnements de contrôle de la sécurité des informations :
  Décrit les orientations des fournisseurs de services et des clients, qui se différencient en fonction du type de modèle de cloud et de son environnement.
• Réduire la complexité des audits :
  Les contrôles sont associés aux réglementations de sécurité, aux cadres de contrôle et aux normes standard du secteur. Le respect des contrôles de la CCM permet de se conformer aux normes et réglementations correspondantes.
• Normaliser les attentes en matière de sécurité :
  Fournit une taxonomie, une sécurité et une terminologie du cloud partagées mises en œuvre dans un cloud.
  

Le programme Security, Trust, Assurance, and Risk (STAR) est un registre accessible au public qui documente les contrôles de confidentialité et les programmes de cloud computing en lien avec la sécurité. Il englobe les principes d’audit, d’harmonisation et de transparence des normes, tels que définis dans le CAIQ et la CCM.

Les entreprises montrent aux clients, actuels et potentiels, leurs stratégies de conformité et de sécurité et leur respect des réglementations, normes et cadres. En fin de compte, cela permet de réduire la complexité et le nombre de questionnaires à remplir.