Garantir sa conformité et la protection de ses données grâce au chiffrement dans le cloud

Alors que le secteur financier continue son incroyable transformation pour rester innovant et compétitif, les organisations issues de ce domaine ont aussi la responsabilité de maintenir une posture de sécurité forte en protégeant leurs données, et en respectant la réglementation. Selon le Fond Monétaire International (FMI), le nombre de cyberattaques, qui ciblent en priorité le secteur financier, a triplé au cours des dix dernières années. Stephan Hadinger, Directeur de la Technologie chez Amazon Web Services (AWS) en France, nous explique comment le chiffrement dans le cloud constitue une solution efficace pour protéger ses données.

Tout d’abord, quels bénéfices le cloud apporte-il au secteur financier ?

Nous le savons, les entreprises du secteur financier ont la responsabilité de quantités importantes de données. Pour gérer un pool de données dont le volume ne cesse de croître, il est important de commencer par la maîtrise de son chiffrement et la supervision des données depuis un point de contrôle central dans l’entreprise. Historiquement, le cloisonnement a été l’ennemi du progrès, entrainant un ralentissement considérable des processus internes. Le cloud est la solution parfaite pour résoudre ce problème, puisque cette technologie offre une vision claire et unifiée des différents emplacements où se trouvent les données, et un point d’entrée unique pour assurer leur gestion. Les responsables peuvent alors gérer les clés de chiffrement et définir des politiques cohérentes par un point de contrôle unique, un facteur crucial pour chiffrer de manière efficace toutes les données sensibles.

La gestion des données dans le cloud doit suivre une approche qu’on appelle « indifférente au contenu ». Cela signifie que les entreprises financières et les fournisseurs de cloud doivent traiter toutes les données clients et les ressources associées comme étant hautement confidentielles, et mettre en œuvre des mesures techniques et physiques sophistiquées pour prévenir les accès non autorisés. Nous sommes ainsi réellement dans une approche qui permet de limiter les failles et portes dérobées, apportant un environnement sécurisé pour toutes les ressources au sein de l’infrastructure.

Dernier point, non négligeable : avec le cloud, les organisations peuvent utiliser des capacités de chiffrement intégrées à des services et ne paient que pour ce qu'elles utilisent. Cela leur permet de libérer des ressources pour se concentrer sur la configuration et la surveillance de la sécurité, mais aussi sur leur innovation.

Quels sont les principaux avantages du chiffrement dans le cloud pour le secteur financier et comment l’implémenter ?

Une stratégie de chiffrement et de protection des données dans le cloud permet de définir des contrôles d'accès précis tout en maintenant une visibilité quasi continue de la posture des risques. Avec le chiffrement, les entreprises du secteur financier bénéficient d’une condition d'autorisation supplémentaire avant d'accorder l'accès aux données. Par exemple, le chiffrement est pris en charge par tous les services AWS s'intégrant directement à AWS Key Management Service (AWS KMS) – qui facilite la création et la gestion des clés cryptographiques ainsi que le contrôle de leur utilisation – ce qui permet aux entreprises d'obtenir une plus grande agilité et un contrôle supplémentaire des données via une autorisation indépendante sur les clés de chiffrement.

Le contrôle des accès est le principal moyen de protéger l'accès à ses données. Nous encourageons nos clients à utiliser AWS Identity and Access Management (IAM) pour définir les utilisateurs ou les types de rôles pouvant accéder à certaines ressources, et les conditions dans lesquelles cet accès est autorisé. Les organismes financiers peuvent par exemple exiger l'utilisation d'une authentification à plusieurs étapes. Quoiqu’il en soit, nous recommandons systématiquement à nos clients de configurer IAM selon le principe de « moindre privilège », c’est-à-dire de n’accorder que l'accès nécessaire à chaque utilisateur pour faire son travail, et uniquement le sien.

Enfin, grâce au chiffrement dans le cloud, les entreprises du secteur financier définissent les personnes qui peuvent utiliser les ressources et celles qui peuvent les gérer – aussi appelé principe de séparation des tâches. Prenons le cas d'une application unique avec deux types d’accès : un pour chiffrer et déchiffrer les données, et un accès gestionnaire pour modifier la configuration à la clé. En utilisant AWS KMS, vous définissez clairement quelles actions peuvent être effectuées et par qui. Cela empêche la personne qui peut chiffrer/déchiffrer les données d'effectuer des modifications de configuration ou d'autorisation, et au gestionnaire d'accéder aux données.

Comment les entreprises du secteur financier peuvent-elles utiliser le chiffrement pour répondre aux exigences de conformité dans le cloud ?

Avec la montée de la technologie cloud dans le secteur des services financiers, les régulateurs ont étendu leur champ d’action aux environnements cloud et portent une attention particulière à la protection des données et la cybersécurité, en passant au crible la façon dont les établissements financiers gèrent leurs données au sein du cloud. Tout cela est justifié car beaucoup de sociétés qui proposent des services financiers hébergent d’immenses quantités de données relatives à leur clientèle, au marché ainsi qu’à leur personnel. Et puis, il ne faut pas oublier que la gestion de ces données revêt une importance croissante depuis l’entrée en vigueur de réglementations telles que le Règlement Général sur la Protection des Données (RGPD). Les établissements financiers, tenus de démontrer leur conformité, doivent donc mettre en œuvre des mesures de contrôle et de protection afin d’assurer la sécurité et la confidentialité des données stockées sur le cloud.

C’est pourquoi AWS fournit plusieurs services pour aider les entreprises du secteur financier à configurer correctement leur environnement. Nous mettons notamment à disposition de nos clients issus du secteur financier AWS Config, un service qui permet d'inspecter, d'auditer et d'évaluer les configurations des ressources AWS utilisées, de manière automatisée et constante. Si une modification de configuration enfreint l'une des conditions d’utilisation de l’entreprise, AWS Config signale la ressource et la définit comme non conforme. AWS Config propose un large éventail de règles pré-écrites pour aider les organisations financières à maintenir leur niveau de conformité dans le cadre de l’utilisation de nombreux services AWS. Les règles gérées incluent des vérifications des paramètres de l'état de chiffrement, ou encore les configurations d’IAM.

Un autre service essentiel au respect de conformité pour les établissements financiers est AWS CloudTrail car il permet d’assurer la gouvernance, la conformité, l'audit opérationnel et l'audit des risques du compte AWS du client. Avec CloudTrail, vous pouvez enregistrer, surveiller en permanence et maintenir l'activité liée aux services AWS utilisés. AWS KMS, cité précédemment, enregistre toutes les activités dans CloudTrail, ce qui permet d'identifier qui a utilisé les clés de chiffrement, dans quel contexte et avec quelles ressources. Ces informations sont utiles à des fins opérationnelles et pour répondre aux besoins de conformité.

Comment les établissements financiers peuvent-ils garantir que leur politique d’utilisation du cloud est conforme ?

C’est effectivement un point important car des acteurs internes et externes – des auditeurs, des régulateurs, ou encore des services de gestion des risques – exigent que l'état de conformité du système de l’entreprise soit documenté. Il est essentiel que le personnel technique et le personnel d'audit collaborent car ils ont un objectif commun et peuvent utiliser les mêmes services pour à la fois soutenir l'excellence opérationnelle de l’entreprise et répondre aux attentes de l’équipe conformité.

Concrètement, les services IT des établissements financiers peuvent par exemple donner l'accès à la console AWS Config et AWS CloudTrail à leurs collègues en charge de l'audit et de gestion des risques. Les rapports périodiques générés par AWS Config peuvent être partagés aux parties prenantes concernées. Quant à AWS CloudTrail, celui-ci sauvegarde un enregistrement continu de toutes les fois où les clés AWS KMS sont utilisées pour chiffrer ou déchiffrer des ressources. En donnant l’accès au contenu aux parties prenantes, celles-ci peuvent examiner l'activité enregistrée dans AWS CloudTrail, mais aussi vérifier les configurations et les autorisations définies dans l’environnement cloud de l’entreprise. Enfin, les rapports produits par les contrôles de conformité automatisés de AWS Security Hub permettent de vérifier et de valider les paramètres de chiffrement et des autres contrôles.

Il y a également les exigences de conformité gérées par le fournisseur de cloud, tout aussi importantes aux yeux des parties prenantes. AWS fournit des rapports d'examen tiers indépendants qui démontrent comment nous atteignons les principaux objectifs et contrôles de conformité de l’entreprise concernée. Nous aidons ainsi les établissements financiers et leurs auditeurs à comprendre les contrôles que nous mettons en place pour soutenir à la fois les opérations et la conformité. Prenons l’exemple de notre client Payplug, une solution de paiement en ligne par carte de crédit dédiée aux e-commerçants. Grâce à l’infrastructure hautement sécurisée, conforme, certifiée et prête à l'emploi fournie par AWS, Payplug a pu être l'une des premières startups françaises à obtenir la certification PCI DSS – la norme de sécurité de l’industrie des cartes de paiement et un standard de sécurité des données. Payplug est devenue l'une des premières startups FinTech opérant sur AWS à obtenir la licence d'établissement de paiement de l'Autorité de Contrôle Prudentiel et de Résolution (ACPR).