Guide de mise en œuvre du programme FedRAMP sur Google Cloud

Établir des règles et des contrôles conformes au programme FedRAMP sur GCP
Mars 2020

Audience visée

Google Cloud Platform permet aux clients soumis aux exigences du programme FedRAMP (Federal Risk and Authorization Management Program) de s'y conformer. Ce guide est destiné aux responsables de la sécurité, aux responsables de la conformité, aux administrateurs informatiques et aux autres employés responsables de la mise en œuvre du programme FedRAMP et de la conformité avec celui-ci sur Google Cloud Platform. Ce guide devrait vous aider à comprendre comment Google assure la conformité avec le programme FedRAMP, ainsi que les outils, produits et services Google Cloud devant être configurés pour vous aider à respecter vos responsabilités dans le cadre de ce programme.

Présentation

Google Cloud Platform assure la conformité avec le programme FedRAMP et fournit des informations spécifiques sur l'approche de la sécurité et de la protection des données dans le livre blanc sur la sécurité de Google, ainsi que dans la présentation de la conception de la sécurité dans l'infrastructure de Google. Bien que Google fournisse une infrastructure cloud sécurisée et conforme, il appartient aux clients d'évaluer leur propre conformité avec le programme FedRAMP et de s'assurer que l'environnement et les applications qu'ils créent sur Google Cloud Platform sont correctement configurés et sécurisés conformément aux exigences du programme.

Ce document offre une vue d'ensemble de la procédure d'agrément d'exploitation (ATO) FedRAMP, du modèle de responsabilité partagée de Google Cloud et des responsabilités spécifiques de chaque client, ainsi que de la manière de satisfaire à ces exigences et directives sur Google Cloud Platform.

FedRAMP

Le programme FedRAMP (Federal Risk and Authorization Management Program) est un programme gouvernemental qui standardise la manière dont la loi américaine FISMA (Federal Information System Act) s'applique au cloud computing. Il établit une approche reproductible de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des services basés sur le cloud.

Conformément aux normes et aux directives du programme FedRAMP, les données sensibles, les données essentielles à l'activité et les données critiques peuvent être sécurisées dans le cloud, ce qui permet de détecter rapidement les failles de cybersécurité.

De manière générale, les objectifs du programme FedRAMP sont les suivants :

  • S'assurer que les services et systèmes cloud utilisés par les autorités administratives disposent de mesures de protection adéquates

  • Dédupliquer les tâches et réduire les coûts de gestion des risques

  • Permettre aux autorités administratives d'obtenir rapidement et à moindre coût des systèmes et des services d'information

Conformément au programme FedRAMP, les autorités administratives fédérales doivent :

  • S'assurer que tous les systèmes cloud qui traitent, transmettent et stockent les données de l'administration utilisent la base de référence FedRAMP pour les contrôles de sécurité

  • Utiliser le framework d'évaluation de la sécurité lors de l'attribution d'autorisations de sécurité dans le cadre de la loi FISMA

  • Appliquer les exigences du programme FedRAMP par le biais de contrats avec des fournisseurs de services cloud (CSP)

Agrément d'exploitation (ATO)

La mise en œuvre et l'exécution de la procédure d'accréditation FedRAMP se concluent par l'obtention d'un agrément d'exploitation (ATO) dans le cloud. Il existe deux formes d'agrément d'exploitation FedRAMP : l'ATO provisoire (P-ATO) et l'ATO Administration (Agency ATO).

Le P-ATO, ou agrément provisoire d'exploitation, est attribué par la commission FedRAMP JAB (Joint Authorization Board). La commission est composée des DSI des administrations américaines DHS (Sécurité intérieure), GSA (Services généraux) et DoD (Défense). Elle définit la base de référence FedRAMP pour les contrôles de sécurité et établit les critères d'accréditation FedRAMP pour les organisations d'évaluation tierces (3PAO). Les organisations et les administrations exigent que leur package de sécurité des systèmes d'information soit traité par la JAB, et que celle-ci émette ensuite un P-ATO autorisant l'utilisation de services cloud.

En ce qui concerne l'ATO Administration, l'organisation ou l'administration interne désigne les agents autorisés (AO) chargés d'effectuer un examen des risques liés au package de sécurité du système d'information. L'AO peut faire appel à des évaluateurs indépendants (IA) non accrédités ou à des 3PAO pour examiner le package de sécurité du système d'information. L'AO, puis l'administration ou l'organisation, autorisent ensuite l'utilisation des services cloud par le système d'information. Le package de sécurité est également envoyé au bureau de gestion du programme FedRAMP (PMO) pour examen. Ce bureau est géré par le GSA. Après l'examen, le PMO publie le package de sécurité qui pourra être utilisé par les autres administrations et organisations.

Framework d'évaluation de la sécurité

Les agents autorisés (AO) dans les administrations et les organisations doivent intégrer le framework d'évaluation de la sécurité (SAF) FedRAMP dans leurs processus d'autorisation interne afin de garantir le respect des exigences du programme FedRAMP pour l'utilisation des services cloud. La mise en œuvre du SAF se déroule en quatre phases :

Phase d'évaluation de la sécurité

Phase 1 : Documentation

L'organisation ou l'administration classifie son système d'information en tant que système à impact faible, modéré ou élevé, conformément aux objectifs de sécurité FIPS PUB 199 en matière de confidentialité, d'intégrité et de disponibilité des données.

En fonction de la classification FIPS du système, l'organisation ou l'administration doit sélectionner la base de référence FedRAMP pour les contrôles de sécurité qui correspondent au niveau de classification FIPS 199, soit faible, modéré ou élevé.

Les propriétaires des systèmes d'information doivent ensuite mettre en œuvre les contrôles de sécurité capturés dans la base de référence des contrôles correspondante. D'autres mises en œuvre sont acceptées, sur la base d'une justification expliquant pourquoi un contrôle ne peut pas être respecté ou implémenté.

Les détails de la mise en œuvre des contrôles de sécurité doivent être capturés dans un plan de sécurité du système (SSP). Les propriétaires des systèmes doivent sélectionner le modèle SSP en fonction du niveau de conformité FedRAMP recherché : faible, modéré ou élevé.

Le SSP décrit la limite d'autorisation de sécurité, explique comment la mise en œuvre du système s'adapte à chaque contrôle de sécurité FedRAMP, décrit les rôles et les responsabilités du système, définit le comportement attendu du système et présente l'architecture du système, ainsi que l'infrastructure de soutien.

Utilisez le modèle de vérification d'autorisation FedRAMP pour suivre votre progression ATO.

Consultez le processus d'autorisation FedRAMP pour les administrations pour plus de détails sur les phases de mise en œuvre.

Modèle de responsabilité Cloud

Pour créer des systèmes et des services, les technologies d'infrastructure informatique traditionnelles imposaient aux organisations et administrations d'acquérir un centre de données physique ou un espace de colocation, des serveurs physiques, des équipements de mise en réseau, des logiciels, des licences et d'autres dispositifs. Le cloud computing permet à un fournisseur de services cloud d'investir dans du matériel physique, des centres de données et la mise en réseau à l'échelle mondiale, tout en fournissant des équipements, des outils et des services virtuels aux clients.

Il existe trois modèles de cloud computing : IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et Saas (Software as a Service).

Dans le modèle IaaS, les fournisseurs de services cloud fournissent principalement un centre de données virtuel dans le cloud. L'infrastructure informatique est virtualisée, tels que les serveurs, les réseaux et l'espace de stockage. Alors que les fournisseurs de services cloud gèrent les équipements physiques et les centres de données de ces ressources, les clients sont responsables de la configuration et de la sécurisation des ressources de plate-forme ou d'applications qu'ils exécutent sur l'infrastructure virtualisée.

Dans le modèle PaaS, les fournisseurs de services cloud peuvent non seulement fournir et gérer l'infrastructure et la couche de virtualisation, mais également une plate-forme préconfigurée pour la création de logiciels, d'applications, ainsi que des services Web. La PaaS permet aux développeurs de créer facilement des applications et des middleware, sans se soucier de la sécurité et de la configuration du matériel sous-jacent.

D'après le modèle SaaS, le fournisseur de services cloud gère les infrastructures physique et virtuelle et la plate-forme tout en fournissant des applications et des services cloud aux clients. Les applications Internet exécutées directement à partir du navigateur Web ou en accédant à un site Web sont des applications SaaS. Avec ce modèle, les organisations et les administrations n'ont pas à se soucier de l'installation, de la mise à jour ni de la compatibilité des applications, elles gèrent simplement les règles d'accès aux systèmes et aux données.

La figure ci-dessous illustre la responsabilité des fournisseurs de services cloud et celle des clients sur site et selon les modèles de cloud computing :

Responsabilité FedRAMP

La pile informatique cloud peut être considérée comme un ensemble de quatre couches : la couche d'infrastructure physique, la couche d'infrastructure cloud, la couche de la plate-forme cloud et la couche logicielle cloud.

structure en couche de la pile informatique cloud

Pour une ATO FedRAMP, chaque couche de la pile informatique cloud est considérée comme une limite de contrôle indépendante, et chaque limite de contrôle requiert une ATO distincte. Ainsi, malgré la conformité FedRAMP de Google Cloud Platform et la présence de dizaines de services Google Cloud couverts par le programme, les clients sont toujours tenus de mettre en œuvre les contrôles de sécurité de la base de référence FedRAMP et le processus SAF pour valider la conformité FedRAMP de leurs systèmes et charges de travail cloud.

Il existe deux types de contrôles de sécurité FedRAMP selon les niveaux de référence faible, modéré et élevé : les contrôles mis en œuvre par le système d'information et les contrôles mis en œuvre par l'organisation. Lorsque les organisations et les administrations développent des systèmes conformes au programme FedRAMP sur Google Cloud, elles héritent des contrôles de sécurité de l'infrastructure physique mis en place par Google conformément à sa certification FedRAMP. Elles héritent également des contrôles de sécurité de l'infrastructure physique, IaaS et PaaS intégrés aux produits et services de Google conformes au programme FedRAMP, ainsi que de tous les contrôles SaaS liés à l'utilisation de Google Workspace. Toutefois, les clients sont tenus de mettre en œuvre tous les autres contrôles et configurations de sécurité aux niveaux IaaS, PaaS et SaaS, tels que définis par la base de référence des contrôles de sécurité FedRAMP.

Pour exploiter les contrôles de sécurité fournis par Google Cloud, demandez une copie du package ATO de Google auprès du JAB, et incluez-le dans le dossier d'évaluation de la sécurité de votre organisation ou administration. En outre, incluez une copie de la lettre d'attestation de Google concernant la conformité FedRAMP.

Recommandations de mise en œuvre FedRAMP

Comme indiqué précédemment, les clients héritent de certains contrôles de sécurité du fournisseur de services cloud, tandis que d'autres contrôles doivent être configurés spécifiquement par le client. Pour de nombreux contrôles de sécurité devant être configurés par le client, les administrations et les organisations doivent créer des règles, des directives et des règlements définis par l'organisation conformes aux exigences des contrôles. Cette section contient des recommandations pour aider les clients à mettre en œuvre des contrôles de sécurité NIST 800-53 dans le cloud à l'aide de règles définies par l'organisation, associées aux outils, services et bonnes pratiques GCP.

Remarque : Les services répertoriés dans cette section portant le symbole * ne sont actuellement pas couverts par le programme FedRAMP, et les services marqués du signe + ne sont pas des services Google Cloud natifs.

Contrôle des accès

Pour gérer le contrôle des accès dans Google Cloud, définissez des administrateurs de l'organisation chargés de gérer les comptes du système d'information dans le cloud. Placez ces administrateurs dans des groupes de contrôle des accès à l'aide de Cloud Identity, de la console d'administration ou de tout autre fournisseur d'identité (par exemple, Active Directory, LDAP, etc.), ce qui garantit que les fournisseurs d'identité tiers sont fédérés avec Google Cloud. Utilisez Cloud Identity and Access Management (IAM) pour attribuer des rôles et des autorisations aux groupes d'administration, en mettant en œuvre le principe du moindre privilège et la séparation des tâches.

Développez des règles de contrôle des accès à l'échelle de l'organisation pour les comptes du système d'information dans le cloud. Définissez les paramètres et procédures que votre organisation doit créer, activer, modifier, désactiver et supprimer des comptes système.

Gestion de comptes, séparation des tâches, principe de moindre privilège

Dans les règles de contrôle des accès, définissez les paramètres et les procédures utilisés par votre organisation pour créer, activer, modifier, désactiver et supprimer des comptes système. Définissez les conditions dans lesquelles les comptes du système d'information doivent être utilisés.

Identifiez également la période d'inactivité au cours de laquelle les utilisateurs seront invités à se déconnecter d'un système (par exemple, après x minutes, heures, jours). Utilisez Cloud Identity, la console d'administration ou les configurations d'application pour obliger les utilisateurs à se déconnecter et/ou à s'authentifier à nouveau après la période définie.

Définissez les actions à effectuer lorsque les attributions de rôles avec privilèges ne sont plus adaptées à un utilisateur de votre organisation. Le service Policy Intelligence* de Google propose une fonctionnalité de recommandation IAM qui aide les entreprises à supprimer les accès indésirables aux ressources GCP en utilisant le machine learning pour formuler des recommandations sur le contrôle d'accès intelligent.

Définissez les conditions dans lesquelles les groupes doivent être utilisés. Utilisez Cloud Identity ou la console d'administration pour créer des groupes ou des comptes de service. Attribuez des rôles et des autorisations aux groupes et comptes de service partagés à l'aide de Cloud Identity and Access Management (IAM). Utilisez autant que possible des comptes de service.

Indiquez l'utilisation atypique d'un compte de système d'information de votre organisation, et utilisez des outils tels que la suite des opérations Cloud, Cloud Security Command Center* ou Forseti Security* pour alerter un administrateur du système d'informations en cas d'utilisation atypique.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Application du flux d'informations, accès à distance

Dans les règles de contrôle des accès à l'échelle de l'organisation, définissez des règles de contrôle de flux d'informations pour votre organisation. Identifiez les ports, protocoles et services interdits ou restreints. Définissez les exigences et restrictions applicables aux interconnexions vers des systèmes internes et externes. Utilisez des outils tels que Cloud VPC pour créer des pare-feu, des réseaux et des sous-réseaux isolés de manière logique. Les équilibreurs de charge Cloud, Traffic Director* et VPC Service Controls peuvent être mis en œuvre pour contrôler le flux. de l'information.

Lorsque vous définissez des règles de contrôle de flux d'informations, identifiez les points d'accès réseau contrôlés pour votre organisation. Utilisez des outils tels que Cloud Identity Aware Proxy pour fournir un accès contextuel aux ressources cloud aux utilisateurs distants et sur site. Utilisez Cloud VPN ou Cloud Interconnect pour fournir un accès direct et sécurisé aux VPC Cloud.

Définissez des règles à l'échelle de l'organisation pour exécuter des commandes avec privilèges et accéder à des données sécurisées via un accès à distance. Limitez l'accès aux données et charges de travail sensibles à l'aide de Cloud IAM et de VPC Service Controls.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07 (01), CM-07 (02).

Tentatives de connexion, notification d'utilisation du système, arrêt de session

Dans les règles de contrôle des accès, spécifiez le délai d'attente avant qu'un utilisateur puisse accéder à une invite de connexion après 3 tentatives de connexion infructueuses au cours d'une période de 15 minutes. Définissez les conditions et les déclencheurs selon lesquels les sessions utilisateur seront arrêtées ou déconnectées.

Utilisez Cloud Identity Premium Edition ou la console d'administration pour gérer les appareils mobiles qui se connectent à votre réseau, y compris dans le cadre du BYOD. Créez des règles de sécurité à l'échelle de l'organisation applicables aux appareils mobiles. Décrivez les conditions et procédures requises pour purger et effacer les données des appareils mobiles après des tentatives de connexion infructueuses.

Développez un langage et/ou des notifications sur l'utilisation du système au niveau de l'organisation pour fournir des règles de confidentialité, des conditions d'utilisation et des avis de sécurité aux utilisateurs accédant au système d'information. Définissez les conditions dans lesquelles les notifications à l'échelle de l'organisation seront affichées avant d'accorder l'accès aux utilisateurs. Cloud Pub/Sub est un système mondial de messagerie et d'ingestion d'événements qui permet d'envoyer des notifications aux applications et aux utilisateurs finaux. La suite Chrome Enterprise*, y compris le navigateur Chrome* et Chrome OS*, peut également être utilisée avec l'API Push* et l'API Notifications* pour envoyer des notifications et des mises à jour aux utilisateurs.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Actions autorisées, appareils mobiles, partage d'informations

Dans les règles de contrôle des accès, définissez les actions des utilisateurs pouvant être effectuées sur un système d'information sans identification ni authentification. Utilisez Cloud IAM pour réguler l'accès des utilisateurs afin de pouvoir afficher, créer, supprimer et modifier des ressources spécifiques.

En outre, développez des règles de partage d'informations à l'échelle de l'organisation. Déterminez dans quelles circonstances ces informations peuvent être partagées et à quel moment l'utilisateur peut le faire. Mettez en place des processus pour aider les utilisateurs à partager des informations et à collaborer sur l'ensemble de l'organisation. Google Workspace offre un ensemble de fonctionnalités très utile pour contrôler la collaboration et l'engagement entre les équipes.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : AC-14, AC19 (05), AC-21.

Sensibilisation et formation

Créez des règles de sécurité et des supports de formation associés afin de les distribuer aux utilisateurs et aux groupes de sécurité de votre organisation au moins une fois par an. Google propose des options de services professionnels pour former les utilisateurs à la sécurité dans le cloud, y compris, mais sans s'y limiter, un engagement Cloud Discover Security et un service d'évaluation de la sécurité Google Workspace

Mettez à jour les règles de sécurité et la formation au moins une fois par an.

Suivez les consignes ci-dessous pour faciliter la mise en œuvre des contrôles de sécurité AT-01.

Audit et responsabilité

Créez des règles d'audit et des contrôles de responsabilité à l'échelle de l'organisation qui traitent les procédures et les exigences de mise en œuvre concernant l'audit du personnel, les événements et les actions liés aux systèmes d'information cloud.

Dans les règles d'audit à l'échelle de l'organisation, décrivez les événements qui doivent être audités dans les systèmes d'information de votre organisation, ainsi que la fréquence d'audit. Les événements enregistrés incluent les événements de connexion au compte ayant réussi et échoué, les événements de gestion de compte, l'accès aux objets, la modification des règles, les fonctions avec privilèges, le suivi des processus et les événements système. Pour les applications Web, il peut s'agir, par exemple, de l'activité d'administration, des vérifications d'authentification, des contrôles d'autorisation, des suppressions de données, de l'accès aux données, des modifications de données ou des modifications d'autorisations. Définissez d'autres événements d'intérêt pour votre organisation.

Les règles d'audit doivent également spécifier des indicateurs d'activité inappropriée ou inhabituelle pour votre organisation. Ces activités doivent être surveillées, consignées et signalées régulièrement (au moins une fois par semaine).

Utilisez la suite des opérations Cloud de Google pour gérer la journalisation, la surveillance et les alertes pour votre environnement GCP, sur site ou autres environnements cloud. Configurez et suivez les événements de sécurité dans votre organisation à l'aide de la suite des opérations Cloud. De plus, Cloud Monitoring permet aux utilisateurs de définir des métriques personnalisées pour surveiller les événements définis au niveau de l'organisation dans les enregistrements d'audit.

Autorisez les systèmes d'information à alerter les administrateurs en cas d'échec du traitement d'audit Vous pouvez mettre cela en œuvre à l'aide d'outils tels que Cloud Pub/Sub et Cloud Alertes.

Définissez des normes pour alerter les administrateurs dans un intervalle donné (par exemple, dans les 15 minutes), en cas de panne d'un système ou d'une défaillance fonctionnelle, à inclure lorsque les enregistrements d'audit atteignent un seuil ou une capacité de volume définis. Déterminez la précision des mesures temporelles à l'échelle de l'organisation auxquelles les enregistrements d'audit doivent être horodatés et consignés. Définissez le niveau de tolérance des enregistrements horodatés dans la trace d'audit du système d'information (par exemple, quasiment en temps réel, dans les 20 minutes, etc.)

Définissez des quotas de ressources VPC pour établir les seuils de capacité de stockage des enregistrements d'audit. Configurez des alertes Cloud Budget pour avertir les administrateurs lorsqu'un pourcentage d'une limite de ressources a été atteint ou dépassé.

Définissez les exigences de stockage à l'échelle de l'organisation pour les données d'audit et les enregistrements, afin d'inclure la disponibilité des journaux d'audit et les conditions de conservation. Google Cloud Storage peut être utilisé pour stocker et archiver les journaux d'audit, tandis que BigQuery permet de procéder à une analyse plus approfondie des journaux.

Le respect de ces consignes permet de mettre en œuvre les principes de sécurité suivants : AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Évaluation et autorisations de sécurité

Développez une stratégie d'évaluation et d'autorisations de sécurité à l'échelle de l'organisation qui définit les procédures et les exigences de mise en œuvre des évaluations de la sécurité, des contrôles de sécurité et des contrôles d'autorisation.

Dans les règles d'évaluation et d'autorisations de sécurité, définissez le niveau d'indépendance requis pour permettre aux équipes d'évaluation de la sécurité d'évaluer les systèmes d'information dans le cloud. Les systèmes d'information qui doivent être évalués par un évaluateur indépendant doivent être identifiés.

Les évaluations de sécurité doivent au minimum porter sur les domaines suivants : surveillance approfondie, analyse des failles, test des utilisateurs malveillants, évaluation des menaces internes, tests de performances/charges. L'organisation doit définir des exigences et des formes d'évaluation de sécurité supplémentaires.

Les règles d'évaluation et d'autorisations de sécurité doivent spécifier les exigences et classifications du système de sécurité, y compris les exigences concernant les systèmes de sécurité non classés et non nationaux.

Dans les règles de contrôle du flux d'informations de votre organisation, décrivez les exigences et restrictions applicables aux interconnexions à des systèmes internes et externes. Définissez des règles de pare-feu Cloud VPC pour autoriser et refuser le trafic vers les systèmes d'information, et utilisez VPC Service Controls pour protéger les données sensibles à l'aide de paramètres de sécurité.

Définissez des règles d'audit et de responsabilité à l'échelle de l'organisation, qui imposent des exigences de surveillance continue (CA-07).

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestion de la configuration

Créez des règles de gestion des configurations au niveau de l'organisation qui définissent les procédures et les exigences de mise en œuvre des contrôles, des rôles, des responsabilités, du champ d'application et de la conformité dans l'organisation.

Standardisez les exigences de configuration pour les systèmes d'information et les composants du système appartenant à l'organisation. Fournissez des exigences et des procédures opérationnelles pour la configuration des systèmes d'information Indiquez explicitement le nombre de versions précédentes d'une configuration de base que les administrateurs système sont tenus de conserver pour assurer le rollback du système d'information. Utilisez la suite d'outils de gestion des configurations de Google pour contrôler les configurations du système informatique en tant que code et surveiller les modifications de configuration à l'aide de Cloud Policy Intelligence*, Cloud Security Command Center* ou Forseti Security*.

Spécifiez la configuration requise pour chaque type de système d'information dans votre organisation (par exemple, cloud, sur site, hybride, non classifié, IUC, classifié, etc.). Définissez également les exigences de protection de la sécurité pour les appareils détenus par l'organisation et les appareils BYOD, pour inclure des emplacements géographiques sécurisés et non sécurisés. Utilisez Cloud Identity Aware Proxy pour appliquer des contrôles d'accès basés sur le contexte aux données appartenant à l'organisation, y compris les contrôles d'accès par emplacement géographique. Utilisez Cloud Identity Premium Edition ou la console d'administration pour appliquer des configurations de sécurité aux appareils mobiles qui se connectent au réseau de l'organisation.

Dans les règles de gestion de la configuration, définissez un élément de contrôle des modifications de configuration à l'échelle de l'organisation, tel qu'un comité ou une commission de contrôle des modifications. Documentez la fréquence à laquelle l'élément de contrôle des modifications sera satisfait et dans quelles conditions. Mettez en place un organe officiel chargé d'examiner et d'approuver les modifications de configuration.

Identifiez les autorités d'approbation de la gestion des configurations pour votre organisation. Ces administrateurs examineront les demandes de modification des systèmes d'information. Définissez le délai dont les autorités disposent pour approuver ou refuser les demandes de modification. Conseillez aux responsables de la mise en œuvre des modifications d'informer les autorités d'approbation une fois les modifications apportées au système d'information.

Définissez des restrictions d'utilisation des logiciels Open Source au sein de votre organisation, de façon à spécifier les logiciels dont l'utilisation est approuvée et non approuvée. Vous pouvez utiliser Cloud Identity ou la console d'administration pour intégrer la mesure d'approbation aux logiciels et applications approuvés pour votre organisation. Cloud Identity Premium permet d'activer l'authentification unique et l'authentification multifacteur sur les applications tierces.

Utilisez des outils tels que Cloud Alertes pour envoyer des notifications aux administrateurs de la sécurité lorsque des modifications de configuration sont consignées. Fournissez un accès administrateur à des outils comme Cloud Security Command Center* ou Forseti Security* pour surveiller les modifications de configuration en quasi-temps réel. Avec Cloud Policy Intelligence*, le machine learning permet d'étudier les configurations définies par votre organisation et de sensibiliser les clients dès lors que les configurations changent par rapport à la base de référence.

Appliquez le principe de fonctionnalités minimales au sein de votre organisation à l'aide de règles de contrôle de flux d'informations.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

planification des mesures d'urgence

Élaborez un plan d'urgence qui définit les procédures et les exigences de mise en œuvre dans le cadre des contrôles de planification d'urgence dans votre organisation. Identifiez le personnel, les rôles et les responsabilités clés parmi l'ensemble des éléments organisationnels

Définissez aussi les opérations du système d'information qui sont essentielles à la mission et aux activités de votre organisation. Définissez des indicateurs cibles pour la durée maximale d'interruption admissible (DMIA) et la perte de données maximale admissible (PDMA) en cas de reprise des opérations essentielles après activation du plan d'urgence.

Décrivez les systèmes d'information critiques et les logiciels associés. Indiquez un maximum d'informations de sécurité, et définissez des directives et des exigences pour le stockage de copies de sauvegarde des composants et des données critiques du système. Déployez les ressources globales, régionales et zonales de Google et les emplacements à l'échelle mondiale pour la haute disponibilité. Utilisez les classes de stockage Google Cloud Storage pour les options multirégionales, régionales, de sauvegarde et d'archivage. Mettez en œuvre l'autoscaling global du réseau et l'équilibrage de charge avec Cloud Load Balancer.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identification et authentification

Créez une règle d'identification et d'authentification pour votre organisation, qui spécifie les procédures d'identification et d'authentification, les champs d'application, les rôles, les responsabilités et les spécifications concernant la gestion, les entités et la conformité. Spécifiez les contrôles d'identification et d'authentification requis par votre organisation. Utilisez Cloud Identity Premium ou la console d'administration pour identifier les appareils professionnels et personnels pouvant se connecter aux ressources de votre organisation. Utilisez Cloud Identity Aware Proxy (IAP) pour appliquer l'accès contextuel aux ressources.

Incluez des conseils sur le contenu de l'authentificateur de votre organisation, les conditions de réutilisation de l'authentification, les normes de protection des authentificateurs, ainsi que les normes de modification ou d'actualisation des authentificateurs. En outre, prenez en compte les exigences concernant l'utilisation d'authentificateurs mis en cache. Spécifiez les limites de temps d'utilisation des authentificateurs et les définitions des délais d'expiration des authentificateurs mis en cache. Définissez les exigences minimales et maximales de durée de vie ainsi que les périodes d'actualisation qui doivent être appliquées par les systèmes d'information au sein de votre organisation.

Utilisez Cloud Identity ou la console d'administration pour appliquer des règles de mots de passe telles que les règles de sensibilité, d'utilisation des caractères, de création ou de réutilisation, de durée de vie, d'exigences de stockage et de transmission liées aux mots de passe.

Décrivez les exigences concernant l'authentification matérielle et/ou les jetons logiciels d'authentification au sein de votre organisation, y compris, mais sans s'y limiter, les exigences concernant les cartes PIV et PKI. Les clés de sécurité Titan de GOogle* peuvent être utilisées pour imposer des exigences d'authentification supplémentaires pour les administrateurs et le personnel avec privilèges.

Dans les règles d'identification et d'authentification, décrivez les composants du système d'information FICAM (Federal Identity, Credential and Access Management) qui sont autorisés à accepter des tiers dans votre organisation. Identity Platform de Google est une plate-forme de gestion de l'authentification et des accès client (CIAM) qui permet aux entreprises d'intégrer une fonctionnalité IAM aux applications auxquelles des entités externes ont accès.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Gestion des incidents

Mettez en place un règlement pour la gestion des incidents pour votre organisation, incluant des procédures pour faciliter et mettre en œuvre des contrôles dans ce domaine. Créez des groupes de sécurité pour les équipes et les autorités devant intervenir en cas d'incident dans votre organisation. Utilisez des outils tels que la suite des opérations Cloud ou Cloud Security Command Center* pour partager des événements d'incident, des journaux et des informations. Incident Response and Management* (IRM) permet aux administrateurs d'examiner et de résoudre les incidents de sécurité du système d'information de bout en bout.

Élaborez un plan de test, des procédures et des checklists pour la gestion des incidents, ainsi que des exigences et des critères de réussite. Envisagez de définir les catégories d'incidents que votre organisation doit être capable d'identifier et spécifiez les actions correspondantes pour y répondre. Définissez les actions spécifiques que le personnel autorisé doit entreprendre en cas d'incident, comme la marche à suivre pour gérer les fuites d'information, les failles de cybersécurité et les piratages. Profitez des fonctionnalités de Google Workspace pour analyser et mettre en quarantaine le contenu de certains e-mails, bloquer les tentatives d'hameçonnage et appliquer des restrictions aux pièces jointes. Utilisez Cloud Data Loss Prevention pour inspecter, classer et supprimer les éléments d'identification des données sensibles afin de limiter l'exposition.

Spécifiez les exigences à l'échelle de l'organisation pour la formation à la gestion des incidents, y compris celles concernant les utilisateurs généraux comme les rôles et responsabilités avec privilèges Appliquez des conditions de périodes de formation (par exemple, dans les 30 jours suivant l'inscription, trimestrielles, annuelles, etc.).

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Maintenance du système

Créez des règles de maintenance du système pour votre organisation, documentez les contrôles de maintenance, les rôles, les responsabilités, la gestion, les conditions de coordination et la conformité du système. Définissez les paramètres de maintenance contrôlée, y compris les processus d'approbation pour la maintenance et les réparations hors site, ainsi que les délais de remplacement des appareils et des pièces défaillants à l'échelle de l'organisation. Votre organisation bénéficiera de la suppression des données sur Google Cloud Platform et du nettoyage des données et des équipements, ainsi que de la sécurité et de l'innovation des centres de données Google pour les opérations de maintenance et de réparation hors site.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : MA-01, MA-02, MA-06.

Protection des contenus multimédias

Dans le cadre des autorisation FedRAMP ATO, nous répondons aux exigences de protection des médias pour l'infrastructure physique. Consultez les articles Conception de la sécurité de l'infrastructure et Présentation de la sécurité de Google. Il incombe ensuite aux clients de satisfaire aux exigences de sécurité de l'infrastructure virtuelle.

Élaborez des règles de protection des médias pour votre organisation en documentant les contrôles multimédia, les règles et procédures de protection, les exigences de conformité, ainsi que les rôles et les responsabilités de gestion. Documentez les procédures pour faciliter et mettre en œuvre des protections multimédias au sein de votre organisation. Créez des groupes de sécurité définissant le personnel et les rôles chargés de gérer les médias et leurs protections.

Spécifiez les types de supports et les accès approuvés pour votre organisation, y compris les restrictions numériques et non numériques. En outre, définissez des marquages et des mises en garde concernant la gestion des médias qui doivent être mis en œuvre dans votre organisation, y compris les exigences de marquage de sécurité à l'intérieur et à l'extérieur des zones d'accès contrôlé. Utilisez Google Data Catalog* pour gérer les métadonnées de ressources cloud et simplifier la découverte de données. Contrôlez la conformité des ressources cloud dans votre organisation, régulant la distribution et la découverte des ressources cloud avec Google Private Catalog*.

Déterminez comment les médias gérés par votre organisation doivent être nettoyés, supprimés ou réutilisés. De même, décrivez les cas d'utilisation et/ou les circonstances dans lesquelles un nettoyage, une élimination ou une réutilisation de médias ou d'appareils sont requis ou acceptables. Définissez les méthodes et mécanismes de protection des médias jugés acceptables pour votre organisation.

Avec Google, vous bénéficiez de la suppression des données sur Google Cloud Platform, du nettoyage des données et des équipements et de la sécurité et de l'innovation des centres de données Google. En outre, Cloud KMS et Cloud HSM fournissent une protection cryptographique conforme à la norme FIPS, tandis que les clés de sécurité Titan Google* peuvent être utilisées pour imposer des exigences d'authentification physique supplémentaires aux administrateurs et au personnel avec privilèges.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Protection physique et environnementale

Dans le cadre des autorisations FedRAMP ATO, Google Cloud satisfait aux exigences physiques et de protection de l'environnement concernant l'infrastructure physique. Consultez les articles Conception de la sécurité de l'infrastructure et Présentation de la sécurité de Google. Il incombe ensuite aux clients de satisfaire aux exigences de sécurité de l'infrastructure virtuelle.

Établissez des règles de protection physique et environnementale pour votre organisation en précisant les contrôles de protection, les entités de protection, les normes de conformité, les rôles, les responsabilités et les exigences en matière de gestion. Expliquez comment la protection physique et environnementale doit être mise en œuvre dans l'ensemble de votre organisation.

Créez des groupes de sécurité définissant le personnel et les rôles chargés de gérer les protections physiques et environnementales. Demandez aux administrateurs d'accéder à des ressources de calcul sensibles pour utiliser les clés de sécurité Titan ou une autre forme de MFA pour vérifier l'intégrité des accès.

Dans les règles de protection physique et environnementales, définissez les exigences de contrôle des accès physiques pour votre organisation. Identifiez les points d'entrée et de sortie des installations pour les sites du système d'information, les protections de contrôle d'accès pour ces installations et les exigences d'inventaire. Tirez parti d'outils tels que Google Maps Platform* pour afficher et suivre les installations, les points d'entrée et de sortie pour les mappages localisés. Utilisez Cloud Resource Manager et Private Catalog* pour contrôler les accès aux ressources cloud, les rendant ainsi organisés et facilement identifiables.

Utilisez Cloud Monitoring pour configurer des événements pouvant être consignés, des accès et des incidents. Définissez des événements d'accès physique à l'échelle de l'organisation qui doivent être consignés dans Cloud Logging. Utilisez Incident Response Management* pour résoudre les incidents de sécurité physiques qui ont été déclenchés et consolidez les résultats dans Cloud Security Command Center*.

Utilisez les règles de protection physique et environnementales pour prendre en compte des situations d'urgence, telles que l'arrêt d'urgence des systèmes d'information, l'alimentation d'urgence, la suppression d'incendie et les procédures d'urgence. Identifiez les points de contact à utiliser en cas d'urgence, en tenant compte des services d'intervention d'urgence et du personnel de sécurité physique de votre organisation. Décrivez les exigences et les emplacements pour les autres sites professionnels. Spécifiez les contrôles de sécurité et le personnel des sites opérationnels principaux et secondaires. Déployez les ressources globales, régionales et zonales de Google et les emplacements à l'échelle mondiale pour la haute disponibilité. Utilisez les classes de stockage Google Cloud Storage pour les options multirégionales, régionales, de sauvegarde et d'archivage. Mettez en œuvre l'autoscaling global du réseau et l'équilibrage de charge avec Cloud Load Balancer. Créez des modèles de déploiement déclaratifs pour établir un processus de déploiement reproductible basé sur des modèles.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Planification de la sécurité du système

Élaborez des règles de planification de la sécurité pour votre organisation, décrivant les contrôles de planification de la sécurité, les rôles, les responsabilités, la gestion, les entités chargées de la planification de la sécurité pour votre organisation, ainsi que les exigences de conformité. Expliquez comment la planification de la sécurité doit être mise en œuvre dans l'ensemble de votre organisation.

Créez des groupes pour définir le personnel de planification de la sécurité en conséquence. Spécifiez des groupes de sécurité pour les évaluations de sécurité, les audits, la maintenance du matériel et des logiciels, la gestion des correctifs et les plans d'urgence pour votre organisation. Utilisez des outils tels que la suite des opérations Cloud, Cloud Security Command Center* ou Forseti Security* pour contrôler la sécurité, la conformité et le contrôle des accès au sein de votre organisation.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : PL-01, PL-02, PL-02 (03).

Personnel de Google et sécurité des données

Créez des règles de sécurité du personnel qui décrivent les personnes, les rôles et les responsabilités chargés de la sécurité du personnel, la mise en œuvre de la sécurité du personnel et les contrôles de sécurité du personnel qui doivent être appliqués dans toute votre organisation. Identifiez les conditions nécessitant qu'une personne fasse l'objet d'un contrôle de sécurité, d'un contrôle de sécurité supplémentaire ou d'une enquête de sécurité au niveau organisationnel. Décrivez les exigences en matière d'autorisations de sécurité au sein de votre organisation.

Incluez des conseils pour gérer les arrêts et les transferts des collaborateurs. Définissez les besoins et les paramètres des entretiens de départ et des sujets de sécurité qui doivent être abordés lors de ces entretiens. Indiquez à quel moment les entités/administrateurs de la sécurité de votre organisation doivent être informés des départs, transferts ou réaffectations du personnel (par exemple, dans les 24 heures). Spécifiez les actions à effectuer par le personnel et l'organisation en cas de transfert, de réaffectation ou de départ. Par ailleurs, mettez en place les conditions requises pour l'application de sanctions formelles à l'encontre des employés. Indiquez à quel moment le personnel/les administrateurs de la sécurité doivent être informés des sanctions à l'encontre des employés et de leurs processus.

Utilisez Cloud IAM pour attribuer des rôles et des autorisations au personnel. Ajoutez, supprimez, désactivez et activez les profils et les accès du personnel dans Cloud Identity ou la console d'administration. Appliquez des exigences d'authentification physique supplémentaires pour les administrateurs et le personnel privilégié à l'aide des clés de sécurité Titan*.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Évaluez les risques

Mettez en œuvre des règles d'évaluation des risques qui décrivent les personnes chargées de l'évaluation des risques, les contrôles à appliquer et les procédures à suivre pour évaluer les risques au sein de votre organisation. Définissez comment les évaluations des risques doivent être documentées et signalées. Utilisez des outils tels que Forseti Security* et Cloud Security Command Center* pour informer automatiquement le personnel de sécurité des risques et des pratiques de sécurité à adopter dans votre organisation.

Exploitez la suite d'outils d'évaluation des risques de Google, tels que Cloud Security Scanner, Container Analysis ou Cloud Armor, ainsi que la protection contre l'hameçonnage et les logiciels malveillants de Google Workspace pour analyser et signaler les failles des systèmes d'information de votre organisation. Mettez ces outils à disposition du personnel et de l'administrateur de l'évaluation des risques, afin d'identifier et d'éliminer les failles.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : RA-01, RA-03, RA-05.

Acquisition de systèmes et de services

Développez des règles d'acquisition de système et de services qui décrivent les rôles et les responsabilités du personnel clé, l'acquisition et la gestion des services, la conformité et les entités. Décrivez les procédures d'acquisition de système et de services, ainsi que les consignes de mise en œuvre applicables à votre organisation. Définissez le cycle de vie du développement du système de votre organisation pour les systèmes d'information et la sécurité des informations. Décrivez les rôles et responsabilités en matière de sécurité des informations, les membres du personnel en charge et comment les règles d'évaluation des risques de votre organisation doivent guider et influencer les activités de cycle de vie du développement.

Mettez en évidence les procédures à suivre au sein de votre organisation lorsque la documentation du système d'information n'est pas disponible et/ou non définie. Faites participer les administrateurs des systèmes d'information et/ou le personnel des services système de votre organisation, si nécessaire. Définissez les formations requises pour les administrateurs et les utilisateurs qui mettent en œuvre ou ont accès aux systèmes d'information au sein de votre organisation.

Utilisez des outils tels que Cloud Security Command Center* et Forseti Security* pour suivre la conformité de la sécurité, les résultats et les règles de contrôle de sécurité de votre organisation. Google fournit une description de l'ensemble de ses normes, règlementations et certifications de sécurité afin d'aider les clients à respecter les exigences et les lois en matière de conformité sur Google Cloud. De plus, Google propose une suite de produits de sécurité pour aider les clients à surveiller en continu leurs systèmes d'information, leurs communications et leurs données, à la fois dans le cloud et sur site.

Spécifiez les restrictions de zone géographique pour les données, les services et le traitement des informations de votre organisation, ainsi que les conditions dans lesquelles les données peuvent être stockées ailleurs. Google propose des options mondiales, régionales et zonales pour le stockage, le traitement et l'utilisation des services dans GCP.

Exploitez les règles de gestion des configurations pour réguler la gestion des configurations par les développeurs pour les contrôles d'acquisition de système et de services, mettre en œuvre les règles d'évaluation de la sécurité et d'autorisation pour faire appliquer les exigences de test de sécurité et d'évaluation de la sécurité par les développeurs.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protection des systèmes et des communications

Créez des règles de protection du système et des communications qui décrivent les rôles et les responsabilités du personnel clé, les exigences de mise en œuvre des règles de protection des communications système et les contrôles de protection requis pour votre organisation. Identifiez les types d'attaques de déni de service que votre organisation reconnaît et surveille, et décrivez les exigences de protection DoS applicables à votre organisation.

La suite des opérations Cloud vous permet de consigner et de surveiller les attaques de sécurité prédéfinies pour votre organisation, et d'envoyer des alertes le cas échéant. Mettez en œuvre des outils tels que Cloud Load Balancing et Cloud Armor pour protéger votre périmètre cloud et profiter des services de Cloud VPC tels que des pare-feu et des contrôles de sécurité réseau pour protéger votre réseau cloud interne.

Identifiez les exigences de disponibilité des ressources de votre organisation, définissez la manière dont les ressources cloud seront allouées à l'ensemble de votre organisation et identifiez les contraintes qui seront mises en œuvre pour limiter les utilisations excessives. Utilisez des outils tels que Cloud Resource Manager pour contrôler l'accès aux ressources au niveau de l'organisation, du dossier, du projet et de chaque ressource. Définissez des quotas de ressources cloud pour gérer les requêtes d'API et l'utilisation des ressources dans GCP.

Établissez les exigences de protection des limites dans vos systèmes d'information et vos communications système. Définissez les exigences concernant le trafic des communications internes et la manière dont le trafic interne doit interagir avec les réseaux externes. Spécifiez les conditions requises pour les serveurs proxy ainsi que d'autres composants de routage et d'authentification de réseau.

Tirez parti de l'outil Cloud Traffic Director pour gérer le trafic réseau et le flux de communications de votre organisation. Utilisez Cloud Identity Aware Proxy pour contrôler l'accès aux ressources cloud en fonction de l'authentification, de l'autorisation et du contexte, y compris l'emplacement géographique ou l'empreinte des appareils. Mettez en œuvre Google Private Access*, Cloud VPN* ou Cloud Interconnect* pour sécuriser le trafic réseau et les communications entre les ressources internes et externes. Cloud VPC peut être utilisé pour définir et sécuriser les réseaux cloud de votre organisation. Établissez des sous-réseaux pour isoler davantage les ressources cloud et les périmètres du réseau.

De plus, Google propose des réseaux définis par logiciel à l'échelle mondiale, avec des options multirégionales, régionales et zonales pour la haute disponibilité et le basculement. Définissez les exigences de défaillance pour votre organisation afin de vous assurer que vos systèmes d'information échouent dans un état connu. Capturez les exigences pour préserver les informations de l'état du système d'information Utilisez des groupes d'instances gérés et des modèles Deployment Manager pour réinstancier des ressources ayant échoué ou non opérationnelles. Autorisez les administrateurs à accéder à Cloud Security Command Center* ou Forseti Security* pour surveiller activement l'état de confidentialité, d'intégrité et de disponibilité de votre organisation.

Dans les règles, décrivez les exigences de votre organisation concernant la gestion des clés de chiffrement, y compris pour la génération de clés, leur distribution, leur stockage, leur accès et leur destruction. Cloud KMS et Cloud HSM peuvent être utilisés pour gérer, générer, utiliser, alterner, stocker et détruire des clés de sécurité FIPS dans le cloud.

Google chiffre les données au repos par défaut, mais vous pouvez utiliser Cloud KMS avec Compute Engine et Google Cloud Storage pour chiffrer également les données à l'aide de clés cryptographiques. Vous pouvez également déployer des VM protégées pour appliquer des contrôles d'intégrité au niveau du noyau sur Compute Engine.

Le respect de ces consignes constitue la base de la mise en œuvre des contrôles de sécurité suivants : SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).

Intégrité du système et des informations

Mettez en œuvre des règles d'intégrité du système et des informations qui décrivent les rôles et les responsabilités du personnel clé, les procédures et les exigences de mise en œuvre de l'intégrité, les normes de conformité et les contrôles de sécurité pour votre organisation. Créez des groupes de sécurité pour le personnel de votre organisation responsable de l'intégrité du système et des informations. Décrivez les exigences de correction de faille pour votre organisation, afin d'inclure des instructions pour la surveillance, l'évaluation, l'autorisation, la mise en œuvre, la planification, l'analyse comparative et la résolution des failles de sécurité dans l'ensemble de votre organisation et de ses systèmes d'information.

Exploitez la suite d'outils de sécurité de Google, y compris, sans s'y limiter, le navigateur Chrome, Cloud Security Scanner, Container Analysis, la protection contre l'hameçonnage et les logiciels malveillants de Google Workspace, le centre de sécurité de Google Workspace et Cloud Armor pour vous protéger contre le code malveillant, les cyberattaques et les failles courantes, mettre en quarantaine le spam, définir les règles relatives au spam et aux logiciels malveillants, alerter les administrateurs sur les failles et obtenir des insights sur l'ensemble de votre organisation pour une gestion centralisée. Utilisez des outils tels que Cloud Operations Suite, Cloud Security Command Center* ou Forseti Security* pour gérer, alerter et surveiller les contrôles et résultats de sécurité de votre organisation. Plus précisément, la suite des opérations Cloud doit être utilisée pour enregistrer les actions d'administration, les accès aux données et les événements système initiés par des utilisateurs et des membres du personnel privilégiés au sein de votre organisation, informer le personnel administratif des messages d'erreur et de la gestion des erreurs dans le système d'information.

Définissez des événements liés à la sécurité par rapport aux logiciels, aux micrologiciels et aux informations de votre organisation (par exemple, les failles zero-day, la suppression de données non autorisées, l'installation de nouveaux matériels, logiciels ou micrologiciels, etc.). Expliquez les mesures à prendre lorsque ces types de modifications liées à la sécurité se produisent. Spécifiez des objectifs de surveillance et/ou des indicateurs d'attaque permettant d'alerter les administrateurs, afin d'inclure les informations essentielles à surveiller dans les systèmes d'information de votre organisation. Définissez les rôles et les responsabilités de surveillance du système et des informations, ainsi que la fréquence de surveillance et de création de rapports (par exemple, en temps réel, toutes les 15 minutes, toutes les heures, rapports trimestriels, etc.).

Capturez les exigences pour l'analyse du trafic des communications pour les systèmes d'information dans votre organisation. Spécifiez les conditions requises pour la découverte d'anomalies, y compris les points système pour la surveillance. Les services Google de télémétrie réseau* permettent d'effectuer une surveillance approfondie des performances réseau et de la sécurité. Google dispose également de solides partenariats tiers qui s'intègrent à GCP pour l'analyse et la protection des points de terminaison et des hôtes cloud, tels que +Aqua Security et +Crowdstrike. Les VM protégées permettent de renforcer les appareils, de vérifier l'authentification et de garantir des processus de démarrage sécurisés.

Définissez la manière dont votre organisation doit vérifier et protéger contre les anomalies de sécurité et les violations de l'intégrité. Utiliser des outils tels que Cloud Security Command Center*, Forseti Security* ou Cloud Policy Intelligence* pour surveiller et détecter les modifications de configuration. Utilisez les modèles +Outils de gestion des configurations ou Deployment Manager pour réinstancier ou arrêter les modifications des ressources cloud.

De plus, dans les règles relatives aux informations système et à l'intégrité, spécifiez les conditions requises pour autoriser et approuver les services réseau au sein de votre organisation. Définissez les processus d'approbation et d'autorisation des services réseau. Cloud VPC est essentiel pour définir des réseaux cloud et un sous-réseau à l'aide de pare-feu afin de protéger les périmètres du réseau. VPC Service Controls permet d'appliquer des périmètres de sécurité réseau supplémentaires pour les données sensibles dans le cloud.

En plus, vous héritez automatiquement de la pile de démarrage sécurisée et de l'infrastructure de défense en profondeur et éprouvée de Google.

Le respect de ces consignes constitue la base de mise en œuvre des contrôles de sécurité suivants : SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusion

La sécurité et la conformité dans le cloud représentent un effort conjoint du client et du fournisseur de services cloud. Google s'assure que l'infrastructure physique et les services correspondants respectent la conformité avec des dizaines de normes, réglementations et certifications tierces, et les clients sont tenus de s'assurer que tout ce qu'ils créent dans le cloud est conforme.

Google Cloud soutient les clients dans leurs efforts en matière de conformité en mettant à leur disposition le même ensemble de produits et fonctionnalités de sécurité que Google utilise pour protéger son infrastructure.

Clause de non-responsabilité

Le présent guide est fourni à titre informatif uniquement. Les informations ou recommandations qui y sont mentionnées n'ont pas vocation à constituer des conseils juridiques. Il appartient à chaque client d'évaluer indépendamment sa propre utilisation des services de manière appropriée afin de s'acquitter de ses obligations légales en termes de conformité.