Répondre aux exigences réglementaires, de conformité et de confidentialité

Last reviewed 2025-02-05 UTC

Ce principe du pilier de sécurité du framework d'architectureGoogle Cloud vous aide à identifier et à respecter les exigences réglementaires, de conformité et de confidentialité pour les déploiements cloud. Ces exigences influencent de nombreuses décisions que vous devez prendre concernant les contrôles de sécurité à appliquer à vos charges de travail dansGoogle Cloud.

Répondre aux exigences réglementaires, de conformité et de confidentialité est un défi inévitable pour toutes les entreprises. Les exigences réglementaires sur le cloud dépendent de plusieurs facteurs, parmi lesquels:

  • Les lois et réglementations qui s'appliquent aux établissements physiques de votre organisation
  • Les lois et réglementations qui s'appliquent à l'emplacement physique de vos clients
  • Les exigences réglementaires de votre secteur d'activité

Les réglementations en matière de confidentialité définissent la manière dont vous pouvez obtenir, traiter, stocker et gérer les données de vos utilisateurs. Vous êtes propriétaire de vos données, y compris celles que vous recevez de vos utilisateurs. Par conséquent, de nombreux paramètres de confidentialité relèvent de votre responsabilité, y compris les contrôles sur les cookies, la gestion des sessions et l'obtention de l'autorisation de l'utilisateur.

Les recommandations pour mettre en œuvre ce principe sont regroupées dans les sections suivantes:

Recommandations pour gérer les risques organisationnels

Cette section fournit des recommandations pour vous aider à identifier et à traiter les risques pour votre organisation.

Identifier les risques pour votre organisation

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

Avant de créer et de déployer des ressources sur Google Cloud, effectuez une évaluation des risques. Cette évaluation doit déterminer les fonctionnalités de sécurité dont vous avez besoin pour répondre à vos exigences de sécurité internes et à vos exigences réglementaires externes.

L'évaluation des risques vous fournit un catalogue des risques spécifiques à votre organisation et vous informe sur sa capacité à détecter et à contrer les menaces de sécurité. Vous devez effectuer une analyse des risques immédiatement après le déploiement et chaque fois que vos besoins métier, vos exigences réglementaires ou les menaces qui pèsent sur votre organisation changent.

Comme indiqué dans le principe Implémenter la sécurité par conception, les risques de sécurité dans un environnement cloud diffèrent des risques sur site. Cette différence est due au modèle de responsabilité partagée dans le cloud, qui varie selon le service (IaaS, PaaS ou SaaS) et votre utilisation. Utilisez un framework d'évaluation des risques spécifique au cloud, comme la matrice des contrôles cloud (CCM). Utilisez la modélisation des menaces, comme la modélisation des menaces d'application de l'OWASP, pour identifier et corriger les failles. Pour obtenir l'aide d'un expert pour les évaluations des risques, contactez votre responsable de compte Google ou consultez l'annuaire des partenaires de Google Cloud.

Après avoir catalogué vos risques, vous devez déterminer comment les corriger, c'est-à-dire si vous souhaitez les accepter, les éviter, les transférer ou les limiter. Pour connaître les contrôles d'atténuation que vous pouvez mettre en œuvre, consultez la section suivante sur la réduction des risques.

Limiter vos risques

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

Lorsque vous adoptez de nouveaux services cloud publics, vous pouvez atténuer les risques à l'aide de contrôles techniques, de protections contractuelles et d'attestations ou de vérifications tierces.

Les contrôles techniques sont les fonctionnalités et technologies que vous utilisez pour protéger votre environnement. Celles-ci incluent des contrôles de sécurité cloud intégrés, tels que les pare-feu et la journalisation. Les contrôles techniques peuvent également inclure l'utilisation d'outils tiers pour renforcer ou soutenir votre stratégie de sécurité. Il existe deux catégories de contrôles techniques:

  • Vous pouvez implémenter les contrôles de sécurité de Google Cloudpour vous aider à atténuer les risques qui s'appliquent à votre environnement. Par exemple, vous pouvez sécuriser la connexion entre vos réseaux sur site et vos réseaux cloud à l'aide de Cloud VPN et de Cloud Interconnect.
  • Google a mis en place des contrôles internes et des audits rigoureux pour se protéger contre les accès d'initiés aux données client. Nos journaux d'audit vous fournissent des journaux en temps quasi réel sur l'accès administrateur Google sur Google Cloud.

Les protections contractuelles désignent les engagements juridiques que nous avons pris concernant les servicesGoogle Cloud . Google s'engage à maintenir et à développer notre portefeuille de solutions de conformité. L'Avenant relatif au traitement des données dans le cloud (ATDC) décrit nos engagements concernant le traitement et la sécurité de vos données. Le CDPA décrit également les contrôles mis en place pour limiter l'accès des ingénieurs de l'assistance Google aux environnements des clients. Il décrit notre journalisation rigoureuse et au processus d'approbation. Nous vous recommandons de consulter les contrôles contractuels de Google Cloudavec vos experts juridiques et réglementaires, et de vérifier qu'ils répondent à vos exigences. Pour en savoir plus, contactez votre responsable de compte technique.

Les vérifications ou attestations tierces désignent les audits réalisés par des tiers pour s'assurer que les fournisseurs cloud répondent aux exigences de conformité. Par exemple, pour en savoir plus sur les Google Cloud attestations concernant les consignes ISO/CEI 27017, consultez la section ISO/CEI 27017 – Conformité. Pour consulter les certifications et les lettres d'attestation Google Cloud actuelles, consultez le Centre de ressources pour la conformité.

Recommandations pour répondre aux obligations réglementaires et de conformité

Un processus de conformité typique passe par trois étapes: évaluation, correction des lacunes et surveillance continue. Cette section fournit des recommandations que vous pouvez appliquer à chacune de ces étapes.

Évaluer vos besoins en conformité

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

L'évaluation de la conformité commence par un examen approfondi de toutes vos obligations réglementaires et de la façon dont votre entreprise les met en œuvre. Pour vous aider à évaluer les services Google Cloud , utilisez le Centre de ressources pour la conformité. Ce site fournit des informations sur les éléments suivants:

  • Compatibilité du service avec les différentes réglementations
  • Google Cloud certifications et attestations

Pour mieux comprendre le cycle de vie de la conformité chez Google et découvrir comment respecter vos obligations réglementaires, vous pouvez contacter le service commercial pour demander l'aide d'un spécialiste de la conformité Google. Vous pouvez également contacter votre responsable de compteGoogle Cloud pour demander un atelier de conformité.

Pour en savoir plus sur les outils et les ressources que vous pouvez utiliser pour gérer la sécurité et la conformité des charges de travail Google Cloud , consultez Assurer la conformité dans le cloud.

Automatiser l'implémentation des exigences de conformité

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

Pour vous aider à respecter les réglementations changeantes, déterminez si vous pouvez automatiser la mise en œuvre des exigences de conformité. Vous pouvez utiliser à la fois les fonctionnalités axées sur la conformité fournies par Google Cloud et les modèles qui utilisent les configurations recommandées pour un régime de conformité particulier.

Assured Workloads s'appuie sur les contrôles internes de Google Cloud pour vous aider à respecter vos obligations de conformité. Assured Workloads vous permet d'effectuer les opérations suivantes :

  • Choisir votre régime de conformité. L'outil définit ensuite automatiquement les contrôles d'accès pour le personnel de référence pour le régime sélectionné.
  • Définissez l'emplacement de vos données à l'aide de règles d'administration afin que vos données au repos et vos ressources ne résident que dans la région de votre choix.
  • Sélectionnez l'option de gestion des clés (par exemple, la période de rotation des clés) qui correspond le mieux à vos exigences de sécurité et de conformité.
  • Sélectionnez les critères d'accès du personnel d'assistance Google pour répondre à certaines exigences réglementaires telles que le niveau d'impact modéré du FedRAMP. Par exemple, vous pouvez sélectionner si le personnel d'assistance Google a effectué les vérifications d'antécédents appropriées.
  • Utilisez des clés appartenant à Google et Google-owned and Google-managed encryption key conformes à la norme FIPS-140-2 et compatibles avec le niveau d'impact modéré du programme FedRAMP. Pour ajouter une couche de contrôle et pour la séparation des tâches, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK). Pour en savoir plus sur les clés, consultez la page Chiffrer les données au repos et en transit.

En plus d'Assured Workloads, vous pouvez utiliser des Google Cloud maquettes pertinentes pour votre régime de conformité. Vous pouvez modifier ces modèles pour intégrer vos règles de sécurité à vos déploiements d'infrastructure.

Pour vous aider à créer un environnement conforme à vos exigences, les plans et les guides de solution de Google incluent des configurations recommandées et fournissent des modules Terraform. Le tableau suivant répertorie les plans qui répondent aux problématiques de sécurité et de respect des obligations réglementaires.

Surveiller la conformité

Cette recommandation s'applique aux axes d'action suivants:

  • Gouvernance, risques et conformité dans le cloud
  • Journalisation, surveillance et audit

La plupart des réglementations vous obligent à surveiller des activités particulières, y compris les activités liées à l'accès. Pour vous aider dans la surveillance, vous pouvez utiliser:

  • Access Transparency : affichez des journaux en quasi-temps réel lorsque les Google Cloud administrateurs accèdent à votre contenu.
  • Journalisation des règles de pare-feu : enregistre les connexions TCP et UDP au sein d'un réseau VPC pour toutes les règles que vous créez. Ces journaux peuvent être utiles pour auditer l'accès au réseau ou pour identifier le plus tôt possible les cas d'utilisation non approuvée du réseau.
  • Journaux de flux VPC : enregistrent les flux de trafic réseau envoyés ou reçus par les instances de VM.
  • Security Command Center Premium : surveillez la conformité avec différentes normes.
  • OSSEC (ou un autre outil Open Source): consignez l'activité des personnes disposant d'un accès administrateur à votre environnement.
  • Justifications d'accès aux clés : affichez les raisons d'une demande d'accès à une clé.
  • Notifications Security Command Center : recevez des alertes en cas de problèmes de non-conformité. Par exemple, recevez des alertes lorsque des utilisateurs désactivent la validation en deux étapes ou lorsque des comptes de service disposent de droits trop élevés. Vous pouvez également configurer la résolution automatique pour des notifications spécifiques.

Recommandations pour gérer la souveraineté de vos données

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

La souveraineté des données fournit un mécanisme qui empêche Google d'accéder à vos données. Vous n'approuvez l'accès que pour les actions fournisseur que vous jugez nécessaires. Par exemple, vous pouvez gérer la souveraineté de vos données de différentes manières:

Gérer votre souveraineté opérationnelle

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

La souveraineté opérationnelle vous garantit que le personnel de Google ne peut pas compromettre vos charges de travail. Par exemple, vous pouvez gérer la souveraineté opérationnelle de plusieurs manières:

Gérer la souveraineté logicielle

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

La souveraineté logicielle vous garantit que vous pouvez contrôler la disponibilité de vos charges de travail et les exécuter où vous le souhaitez. De plus, vous pouvez exercer ce contrôle sans dépendre d'un seul fournisseur cloud. La souveraineté logicielle inclut la capacité à survivre aux événements qui nécessitent de modifier rapidement l'emplacement de déploiement de vos charges de travail et le niveau de connexion externe autorisé.

Par exemple, pour vous aider à gérer votre souveraineté logicielle, Google Cloudest compatible avec les déploiements hybrides et multicloud. De plus, GKE Enterprise vous permet de gérer et de déployer vos applications simultanément dans des environnements cloud et sur site. Si vous choisissez des déploiements sur site pour des raisons de souveraineté des données, Google Distributed Cloud est une combinaison de matériel et de logiciels qui intègre Google Cloud à votre centre de données. Google Cloud

Recommandations pour répondre aux exigences de confidentialité

Google Cloud inclut les contrôles suivants pour faciliter la confidentialité:

  • Chiffrement par défaut de toutes les données au repos, en transit et pendant leur traitement.
  • Protection contre les accès par des initiés.
  • Compatibilité avec de nombreuses réglementations en matière de confidentialité.

Les recommandations suivantes concernent les commandes supplémentaires que vous pouvez implémenter. Pour en savoir plus, consultez le Centre de ressources sur la confidentialité.

Contrôler la résidence des données

Cette recommandation s'applique à la zone de concentration suivante : gouvernance, risques et conformité dans le cloud.

La résidence des données décrit l'emplacement de stockage de vos données au repos. Les exigences de résidence des données varient en fonction des objectifs de conception des systèmes, de la réglementation applicable au secteur, de la législation nationale, des implications fiscales et même de la culture.

Le contrôle de la résidence des données commence par ce qui suit :

  • Identifier le type de données et leur emplacement
  • Déterminez les risques qui existent pour vos données, et les lois et réglementations qui s'appliquent.
  • Contrôler l'emplacement de stockage de vos données ou leur destination

Pour vous aider à respecter les exigences de résidence des données, Google Cloud vous permet de contrôler l'emplacement de stockage de vos données, leur mode d'accès et leur traitement. Vous pouvez utiliser des règles d'emplacement des ressources pour limiter l'emplacement de création des ressources et l'emplacement des données dupliquées entre les régions. Vous pouvez utiliser la propriété "location" d'une ressource pour identifier où le service est déployé et qui le gère. Pour en savoir plus, consultez la section Services compatibles avec les emplacements de ressources.

Classer vos données confidentielles

Cette recommandation s'applique à la zone de concentration suivante : sécurité des données.

Vous devez définir les données confidentielles, puis vous assurer qu'elles sont correctement protégées. Les données confidentielles peuvent inclure des numéros de carte de crédit, des adresses, des numéros de téléphone et d'autres informations permettant d'identifier personnellement l'utilisateur. À l'aide de la protection des données sensibles, vous pouvez configurer les classifications appropriées. Vous pouvez ensuite ajouter des tags à vos données et les tokeniser avant de les stocker dans Google Cloud. De plus, Dataplex propose un service de catalogue qui fournit une plate-forme permettant de stocker, de gérer et d'accéder à vos métadonnées. Pour en savoir plus et obtenir un exemple de classification et d'anonymisation des données, consultez la section Anonymiser et désanonymiser les informations personnelles à l'aide de la protection des données sensibles.

Verrouillage de l'accès aux données sensibles

Cette recommandation s'applique aux axes d'action suivants:

  • Sécurité des données
  • Gestion de l'authentification et des accès

Placez les données sensibles dans leur propre périmètre de service à l'aide de VPC Service Controls. VPC Service Controls vous aide à limiter les risques de copie ou de transfert non autorisé de données (exfiltration de données) à partir de services gérés par Google. Cette solution vous permet de configurer des périmètres de sécurité autour des ressources de vos services gérés par Google pour contrôler le déplacement des données au-delà des limites des périmètres. Définissez des contrôles d'accès Google Identity and Access Management (IAM) pour ces données. Configurez l'authentification multifacteur (MFA) pour tous les utilisateurs ayant besoin d'accéder à des données sensibles.