Un nouveau programme de certificat enseigne l’audit cloud dans une architecture multi-locataire

  • FrançaisFrançais


  • Le bureau de Houston, au Texas, du fournisseur de services cloud Amazon Web Services (AWS). (Tony Webster de Minneapolis, Minnesota, États-Unis, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

    Si vous pensez pouvoir auditer votre infrastructure informatique basée sur le cloud exactement de la même manière que vous évaluez la sécurité et la confidentialité sur un réseau sur site traditionnel, vous devrez peut-être faire une vérification de la réalité.

    Bien que l’objectif puisse être le même, il s’agit d’un processus très différent qui nécessite son propre ensemble de compétences et de connaissances. Avec le mouvement vers le cloud de plus en plus fort de jour en jour, les organisations vont rapidement devoir prendre en compte ces écarts. Et les professionnels de l’informatique qui montrent qu’ils peuvent s’adapter ont une occasion en or de faire progresser leur carrière.

    Il semble donc opportun que l’ISACA et la Cloud Security Alliance (CSA) aient officiellement annoncé lundi le lancement de leur nouveau programme de formation et d’examen du certificat de connaissance de l’audit dans le cloud (CCAK).

    Les deux organisations l’appellent «les premières informations d’identification disponibles pour les professionnels de l’industrie pour démontrer leur expertise dans les principes essentiels de l’audit de la sécurité des systèmes de cloud computing.» Un guide d’étude était déjà disponible l’année dernière et d’ici la semaine prochaine, les praticiens pourront s’inscrire à des examens et à des cours de formation en présentiel de deux jours (virtuels uniquement pour l’instant). Des cours en ligne à votre rythme arriveront en avril et des banques de questions à des fins de pratique suivront en mai.

    Les experts dans le domaine du cloud, de la gouvernance informatique et de la cybersécurité en général estiment que ce programme de certificat est un ajout significatif au large éventail de programmes de formation à la sécurité disponibles aujourd’hui, comblant une lacune importante sur le marché de la formation basée sur les connaissances.

    Selon l’édition de février 2020 de notre rapport sur le cloud et les menaces de Netskope, l’organisation moyenne dispose de plus de 2 400 applications cloud – «soulignant le besoin urgent de professionnels de l’audit de la sécurité du cloud», a déclaré Krishna Narayanaswamy, directeur de la technologie.

    Daniele Catteddu, directeur de la technologie au CSA, a déclaré que l’idée derrière le CCAK est de «donner aux professionnels de la sécurité et de la protection des données, des spécialistes de l’approvisionnement, du personnel juridique et autres» les moyens d’avoir une évaluation et une compréhension appropriées d’un service cloud au fil du temps le moment où vous effectuez l’évaluation initiale sur un service cloud avant d’acheter le produit [through] le cycle de vie global du service lui-même. »

    L’ISACA a déjà un programme établi pour les auditeurs des systèmes d’information avec le titre CISA, et bien qu’il couvre le cloud, ce n’est pas l’objectif principal, a noté Donahue. «Comme les estimations indiquent que 70 à 90% et plus des organisations utilisent le cloud, nous entendions plus fréquemment que nos CISA et d’autres membres souhaitaient accéder à davantage de programmes axés sur le cloud», a déclaré Shannon Donahue, vice-présidente du développement de contenu et des services chez ISACA. «Non seulement pour qu’ils puissent acquérir de nouvelles compétences à mesure que le cloud mûrit, mais aussi pour démontrer leur capacité dans les audits cloud.»

    Le sujet comprendra le cadre de cybersécurité Cloud Controls Matrix (CCM) de l’ASC; le questionnaire de l’Initiative des évaluations de consensus (CAIQ), qui est un moyen de documenter les contrôles de sécurité que l’on trouve dans les offres d’infrastructure, de plate-forme et de logiciel en tant que service; et l’outil d’auto-évaluation STAR, qui aide les utilisateurs à évaluer la sécurité de leurs fournisseurs de cloud tiers actuels ou potentiels.

    «Comprendre la technologie et la méthodologie d’analyse des menaces pour le cloud est essentiel», a déclaré Jim Reavis, co-fondateur et PDG de l’ASC. «Nous cherchons à fournir aux professionnels les compétences nécessaires pour maîtriser ces différentes disciplines et comprendre les mécanismes permettant de tirer parti du CCM et du CAIQ dans des scénarios d’audit pragmatiques.

    «Ils comprendront les différents services cloud et types de cloud, ainsi que la manière de tester la conception et l’efficacité des contrôles dans chaque situation pour s’assurer que les données sont traitées, stockées et transmises comme prévu», a déclaré Donahue.

    Selon Narayanaswamy de Netskope, en plus de la connaissance des contrôles cloud, les professionnels de l’audit cloud doivent également montrer «la capacité d’identifier les contrôles critiques qui sont importants pour le secteur vertical de leur organisation, la capacité de comprendre les termes et conditions énoncés par les fournisseurs de services cloud, et le capacité à cartographier les contrôles cloud avec les exigences spécifiées dans les réglementations de conformité applicables telles que PCI, HIPAA, GDPR, CCPA, LGPD, etc. »

    Tanner, chercheur senior en sécurité chez Barracuda Networks, a convenu qu’il y a «de nombreuses nuances au cloud public en particulier qu’il est important de comprendre», même s’il pense également que les programmes de certificats doivent veiller à ne pas devenir trop spécialisés. Les leçons importantes pour un programme de formation et de connaissances comme celui-ci, a-t-il déclaré, seraient les «nombreuses configurations de sécurité qui doivent être comprises et utilisées correctement, telles que les groupes de contrôle dans AWS, ainsi que« les nouveaux flux de travail et outils utilisés dans le cloud scénarios – par exemple, les workflows de déploiement de Kubernetes et Docker. »

    Prouver que vous êtes qualifié et compétent dans tous les domaines ci-dessus peut aider les professionnels de l’infosec à se distinguer et peut-être même à décrocher un emploi précieux.

    «Le titulaire du CCAK peut montrer qu’il a les connaissances nécessaires pour être un auditeur efficace, quel que soit l’endroit où les données sont stockées, traitées ou transmises», a déclaré Donahue. «Ils pourront également démontrer leur connaissance des cadres, réglementations et normes axés sur le cloud.»

    «Ces dernières années, nous avons même vu des entreprises traditionnelles bien établies augmenter leur développement personnalisé pour répondre à leurs besoins commerciaux», a déclaré James Pleger, directeur, SpecOps, chez Sumo Logic. «La plupart des nouveaux projets, sinon la plupart, vivront complètement dans le cloud ou interagiront avec lui d’une manière ou d’une autre. Cette certification et même d’autres certifications du même type peuvent créer une base de connaissances sur le cloud, ce qui devrait conduire à des résultats d’audit de meilleure qualité. »

    «Cette certification est particulièrement précieuse pour la fonction de gouvernance, de risque et de conformité», a ajouté Narayanaswamy. «Avec l’émergence des applications et services cloud, les départements GRC des organisations créent des processus de gouvernance cloud et cette certification pourrait être le facteur de différenciation dans la prise de décision d’embauche.»

    Audit cloud vs audit sur site traditionnel

    D’après la page Web de la CSA décrivant le programme CCAK, les programmes traditionnels de formation et de certification en matière d’audit informatique «n’ont pas été développés avec une compréhension du cloud computing et de ses nombreuses nuances». De plus, «une organisation auditée utilisant le cloud computing aura une approche très différente pour satisfaire les objectifs de contrôle» par rapport à une organisation qui repose sur des systèmes informatiques traditionnels sur site, en particulier en ce qui concerne l’accès administrateur.

    «Le cloud change la donne pour les audits informatiques», a déclaré Reavis, qui affecte de nombreux aspects de la gestion des risques, de la gouvernance et de la conformité. Il est donc important de comprendre pourquoi des connaissances et des compétences spécialisées sont nécessaires.

    L’une des principales raisons est que les services cloud sont sous-traités à des fournisseurs tiers qui sont également sous contrat avec d’autres clients. Ce modèle multi-locataires signifie que vous ne pouvez pas simplement aller évaluer et auditer ces tiers de manière libre de la même manière que vous auditeriez votre propre organisation interne. En conséquence, il y a moins de contrôle, ce qui rend également plus difficile la création d’une piste d’audit complète et étanche.

    En effet, «une pratique d’audit traditionnelle, telle que l’analyse des vulnérabilités ou les tests de pénétration, peut risquer de nuire à un système de production et sera souvent interdite par le fournisseur de services cloud», a déclaré Reavis. «Un autre scénario courant est que l’auditeur n’aura pas d’accès physique direct aux centres de données de cloud public.»

    Cela signifie que les auditeurs devront s’appuyer sur d’autres formes d’évaluation et d’évaluation, y compris un examen minutieux des certifications existantes des fournisseurs et des contrôles compensatoires virtualisés », a poursuivi Reavis.

    Donahue a déclaré que dans certains cas, les utilisateurs de services cloud devront se fier aux rapports d’attestation SOC2 de leur fournisseur cloud pour démontrer qu’ils gèrent en toute sécurité leurs données. «Je pense qu’à ce stade, cela se résume à… la confiance», a déclaré Donahue, «et cela passera par de solides compétences en gestion des fournisseurs, des contrats solides et des SLA. [service-level agreements], puis les rapports d’attestation. »

    En outre, avoir un hôte tiers de données et de services «signifie qu’il existe des menaces supplémentaires, et ceux qui auditent le cloud devront comprendre les menaces et vérifier que les contrôles en place sont conçus de manière appropriée et fonctionnent comme prévu et ont été , systématiquement, au fil du temps », a déclaré Donahue. Sans oublier: «De nouvelles exigences réglementaires, cadres et normes ont été publiés qui sont spécifiques au cloud computing, il est donc impératif de s’assurer qu’un auditeur cloud comprend les spécifications du framework et comment évaluer la conformité dans l’environnement cloud.»

    L’accès au système n’est pas la seule différence. Les audits basés sur le cloud peuvent également nécessiter une familiarité avec certaines technologies avec lesquelles les auditeurs n’ont pas travaillé auparavant, en particulier dans les petites organisations, a déclaré Donahue. «Pour eux d’avoir à comprendre les images de serveurs virtuels et toutes les différentes choses qui se produisent selon que vous utilisez SaaS ou PaaS, c’est juste un nouvel élément pour eux», a-t-elle expliqué.

    «Et puis si nous examinons l’approche cloud plus mature, certainement, DevSecOps, l’automatisation et la conformité continue, ce sont des aspects qui sont complètement nouveaux» pour de nombreux membres de la communauté d’audit », a ajouté Catteddu. «L’idée que vous avez affaire à des serveurs ou des services éphémères, qu’ils pourraient être là maintenant, mais pas dans cinq minutes – [it’s a] une manière différente dont vous collectez les preuves, une manière différente dont vous comprenez l’efficacité d’un contrôle dans un développement agile. »

    Pleger de Sumo Logic a identifié un autre défi technologique pour les organisations d’utilisateurs, notant que les environnements cloud «évoluent constamment avec de nouvelles fonctionnalités et peuvent changer rapidement la posture de sécurité en fonction des fonctionnalités exploitées.» Pour cette raison, «je pense qu’avoir un audit spécifique au cloud peut être extrêmement bénéfique. Cela dit, cela dépend aussi vraiment de la certification d’avoir un programme d’apprentissage continu plus agressif et de se concentrer sur des concepts généraux et des techniques d’audit, plutôt que sur des technologies spécifiques.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *