La sécurité et la conformité des données au cœur du Cloud d’AWS
Mathieu Jeandron (X97), manager des architectes solutions pour le secteur public en France et au Benelux nous parle de la sécurité et la conformité des données au cœur du Cloud d’AWS.
Comment appréhendez-vous la question de la sécurité des données ?
De plus en plus, le recours aux capacités de calcul intensif n’est plus réservé au monde de la recherche fondamentale. Aujourd’hui, on constate de plus en plus souvent un continuum entre les systèmes d’information classiques, d’où sont extraites les données, et les capacités de calcul intensif pour les simulations par exemple. C’est un phénomène qu’on observe dans tous les domaines : santé, industrie, finance…
Ainsi, lorsque le calcul intensif se place dans le cloud, il est naturel et essentiel de traiter la question de la confidentialité des données qui sont traitées dans le même continuum de sécurité, ainsi que de protéger la confidentialité et la propriété intellectuelle des algorithmes créés et utilisés par des chercheurs. Il s’agit de répondre aux plus hauts niveaux de sécurité, comparables à ceux que nous connaissons dans le monde habituel des systèmes d’information les plus sensibles. Cet enjeu relatif à la sécurité et à la conformité des données est au cœur des priorités d’AWS.
Comment cela se traduit-il ?
Cela se traduit à deux niveaux : D’une part, nous avons conçu nos infrastructures et nos services de façon sécurisée à l’origine. D’autre part, nous mettons à la disposition de nos clients de nombreux outils afin qu’ils puissent mettre en œuvre leur propre politique de sécurité dans le cloud AWS en matière de chiffrement, de cloisonnement réseau, de détection de menaces, de réaction aux incidents.
Il est important de comprendre que notre position est celui d’un fournisseur de technologies : nos clients conservent en permanence la propriété et le contrôle de leurs données et de leurs contenus sur AWS. Ils définissent le lieu de stockage et de traitement de la donnée, la gestion d’accès, les modalités de chiffrement des données, les outils à utiliser (solutions AWS ou tiers…).
C’est à la fois un engagement légal et une réalité technique que les clients peuvent constater directement. En outre, ce sont également des caractéristiques vérifiées par nos nombreuses certifications de conformité avec les normes et standards applicables. En parallèle, nos clients peuvent utiliser AWS en conformité au Règlement Général sur la Protection des Données (RGPD), nous avons également fait certifier nos principaux services conformes au code de conduite CISPE validé par la CNIL, et obtenu la certification HDS (Hébergeur de Données de Santé).
Lire aussi : AWS démocratise l’accès aux ordinateurs quantiques
Quelles sont les principales perspectives dans le domaine de la sécurité ?
Nous travaillons en permanence pour aller plus loin pour protéger les systèmes et donner le niveau d’assurance attendu par nos clients, et investissons largement dans ce domaine.
Par exemple, le système d’hypervision sur lequel nos services AWS s’appuient a été complètement repensé pour renforcer l’isolation des systèmes du client vis-à-vis de l’opérateur cloud et vis-à-vis des autres clients : la plupart des fonctions habituelles de l’hyperviseur sont désormais déléguées à des composants matériels dédiés, ce qui nous permet par exemple de supprimer tout mécanisme qui permettrait à un système ou une personne physique de se connecter à un serveur, et diminue drastiquement les risques de vulnérabilités liés au processeur ou aux logiciels des systèmes hôtes.
Autre exemple : nous développons des outils de raisonnement formel automatisés (raisonnement de logique mathématique) que nous appliquons notamment pour vérifier la sécurité de notre implémentation des algorithmes de chiffrement en transit (TLS), ainsi que la sécurité du code de boot de nos serveurs. Par défaut, tous nos clients bénéficient de cette isolation et de ce niveau formel de sécurité prouvée dès qu’ils utilisent une machine virtuelle AWS.
Comment les utilisateurs peuvent-ils appréhender ces questions ?
Cela restera toujours de la prérogative des clients de définir leurs attentes en matière de sécurité et de conformité, dans le cadre du projet qu’ils sont en train de mener.
À partir du moment où les risques à couvrir sont clairement identifiés et mis en regard des autres enjeux notamment de rapidité d’exécution, de maîtrise des coûts, de performance, il est alors relativement simple d’avoir accès au bon niveau d’expertise technique pour décider des outils et configurations adaptés.