Ce document du framework d'architecture de Google Cloud décrit les bonnes pratiques de gestion des risques dans un déploiement cloud. L'analyse approfondie des risques qui s'appliquent à votre organisation vous permet de déterminer les contrôles de sécurité requis. Vous devez effectuer une analyse des risques avant de déployer des charges de travail sur Google Cloud, puis régulièrement en fonction des besoins de votre entreprise, des exigences réglementaires et des menaces qui affectent votre organisation.
Identifier les risques pour votre organisation
Avant de créer et de déployer des ressources sur Google Cloud, effectuez une évaluation des risques afin de déterminer les fonctionnalités de sécurité dont vous avez besoin pour répondre à vos exigences de sécurité internes et à vos exigences réglementaires externes. L'évaluation des risques vous fournit un catalogue des risques pertinents pour vous et vous indique votre capacité à détecter et contrer les menaces de sécurité.
Les risques dans un environnement cloud diffèrent de ceux dans un environnement sur site en raison de l'accord de responsabilité partagée que vous passez avec votre fournisseur cloud. Par exemple, dans un environnement sur site, vous devez limiter les failles de la pile matérielle. En revanche, dans un environnement cloud, ces risques viennent du fournisseur cloud.
En outre, vos risques varient selon la manière dont vous envisagez d'utiliser Google Cloud. Transférez-vous certaines de vos charges de travail vers Google Cloud, ou toutes ? Utilisez-vous Google Cloud uniquement à des fins de reprise après sinistre ? Configurez-vous un environnement cloud hybride ?
Nous vous recommandons d'utiliser un framework d'évaluation des risques standard dans l'industrie, qui s'applique aux environnements cloud et à vos exigences réglementaires. Par exemple, la Cloud Security Alliance (CSA) fournit la matrice des contrôles cloud (CCM). En outre, il existe des modèles de menace, tels que la modélisation des menaces d'application OWASP, qui fournissent une liste de lacunes potentielles et suggèrent des actions pour corriger ces failles. Vous pouvez consulter notre annuaire des partenaires pour obtenir la liste des experts qui évaluent les risques pour Google Cloud.
Pour vous aider à cataloguer vos risques, envisagez d'utiliser Risk Manager, qui fait partie du Risk Protection Program. (Ce programme est actuellement disponible en version bêta.) Risk Manager analyse vos charges de travail pour vous aider à comprendre les risques liés à votre entreprise. Ses rapports détaillés fournissent une référence de sécurité. Vous pouvez également utiliser les rapports de Risk Manager pour comparer les risques par rapport aux risques décrits dans le benchmark CIS (Center for Internet Security).
Après avoir catalogué vos risques, vous devez déterminer comment les corriger, c'est-à-dire si vous souhaitez les accepter, les éviter, les transférer ou les limiter. La section suivante décrit les contrôles de limites.
Limiter vos risques
Vous pouvez limiter les risques à l'aide de contrôles techniques, de protections contractuelles et d'attestations ou de vérifications tierces. Le tableau suivant répertorie comment limiter ces risques lorsque vous adoptez de nouveaux services de cloud public.
| Atténuation | Description |
|---|---|
| Contrôles techniques | Les contrôles techniques désignent les fonctionnalités et technologies qui vous permettent de protéger votre environnement. Celles-ci incluent des contrôles de sécurité cloud intégrés, tels que les pare-feu et la journalisation. Les contrôles techniques peuvent également inclure l'utilisation d'outils tiers pour renforcer ou soutenir votre stratégie de sécurité. Il existe deux catégories de contrôles techniques :
|
| Protections contractuelles | Les protections contractuelles désignent les engagements juridiques que nous avons pris concernant les services Google Cloud. Google Cloud s'engage à maintenir et à développer notre portefeuille de solutions de conformité. Le document Avenant relatif au traitement des données dans le cloud (ATDC) définit notre engagement à maintenir nos certifications ISO 27001, 27017 et 27018, ainsi qu'à mettre à jour nos rapports SOC 2 et SOC 3 tous les 12 mois. Le document DPST décrit également les contrôles mis en place pour limiter l'accès des ingénieurs de l'assistance Google aux environnements des clients. Il décrit notre journalisation rigoureuse. et au processus d'approbation. Nous vous recommandons de consulter les contrôles contractuels de Google Cloud avec vos experts juridiques et réglementaires, et de vérifier qu'ils répondent à vos exigences. Pour en savoir plus, contactez votre responsable de compte technique. |
| Vérifications ou attestations tierces | Les validations ou attestations tierces consistent à demander à un fournisseur tiers d'effectuer un audit du fournisseur cloud pour s'assurer qu'il répond aux exigences de conformité. Par exemple, Google a fait l'objet d'un audit réalisé par un tiers afin de vérifier sa conformité avec la norme ISO 27017. Vous pouvez consulter les certifications et les lettres d'attestation Google Cloud actuelles dans le Centre de ressources pour la conformité. |
Étape suivante
Pour en savoir plus sur la gestion des risques, consultez les ressources suivantes :
- Gérez vos assets (document suivant de cette série)
Gouvernance des risques de la transformation numérique dans le cloud (PDF)