Qu’est-ce que les accords de Niveau de Service apportent dans la conformité et la sécurité RGPD-GDPR dans un environnement multi-Cloud ?
L’impératif de confidentialité sécurité des données
L’entrée en vigueur RGPD a définitivement accru les inquiétudes quant à une meilleure assurance des mesures de confidentialité adoptées par les applications. Les capacités de confidentialité sont intrinsèquement liées aux capacités de sécurité des systèmes d’information de traitement de données à caractère personnel.
Même le RGPD-GDPR lui-même exige que les Informations Personnelles Identifiables (PII) soient traitées de manière à assurer une sécurité appropriée des données à caractère personnel, y compris une protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, à l’aide de mesures techniques ou organisationnelles appropriées.
Par conséquent, il est nécessaire de suivre une approche globale de l’évaluation des risques qui aborde à la fois les menaces à la vie privée et à la sécurité. C’est encore plus difficile dans les systèmes multi-Cloud en raison de la nécessité de contrôler non seulement les risques propres aux composants du système, mais également ceux des fournisseurs du Cloud. La sécurité, la confidentialité et la protection des données restent des obstacles majeurs à l’adoption du Cloud.
Une transparence nécessaire à la confiance
Les préoccupations des utilisateurs en matière de sécurité et de confidentialité des systèmes Cloud découlent du manque de confiance, de visibilité et de vérifiabilité des contrôles de confidentialité et de sécurité proposés par les fournisseurs de services Cloud dans leurs services.
Depuis l’arrivée du RGPD-GDPR, résoudre ces problèmes est une nécessité urgente pour les consommateurs et les fournisseurs de services du Cloud, en tant que responsables du traitement de données, en raison des principes de traitement des données à caractère personnel. Exiger une évaluation systématique de la vie privée et la collecte de preuves pour assurer l’assurance et la transparence à l’égard des personnes concernées, des collaborateurs des autorités de traitement et de surveillance.
Une nouvelle approche en solution
Dans cet article, nous proposons une nouvelle approche pour faciliter l’assurance et la transparence des systèmes basés sur le Cloud en utilisant des contrats de niveau de service dans le Cloud (SLA), définis comme un cadre contractuel définissant les termes et conditions nécessaires pour remplir les obligations d’un fournisseur de services de Cloud Computing (CSP) pour le ou les services offerts à un consommateur de services de Cloud Computing (CSC).
Notre document présente notre solution en matière d’assurance de la confidentialité et de la sécurité basée sur les accords de niveau de service pour les applications multi-cloud, c’est-à-dire les applications ou les services qui utilisent ou font déployer leurs composants dans des services Cloud distribués. La solution s’appuie sur l’approche MUSA (Multi Cloud Secure Applications) DevOps pour permettre la gestion complète du cycle de vie, axée sur les risques, des applications multi Cloud utilisant des accords de niveau de service.
Les avancées apportées incluent des méthodes pour la sélection des services de Cloud Computing à utiliser, la création automatique du contrat de niveau de service offert par l’application et l’assurance continue, au moment de l’exécution, des objectifs de niveau de service de sécurité et de confidentialité spécifiés dans le contrat de niveau de service. La solution présentée est prise en charge par le cadre MUSA, une combinaison d’outils open source intégrée développée comme résultat principal du projet H2020 de l’Union européenne, MUSA, et étendue aux fonctionnalités de confidentialité IoT du projet H2020 de l’Union européenne, ENAC. Le présent travail prolonge les travaux antérieurs en ajoutant une analyse des accords de niveau de service et une description complète du processus d’évaluation des risques et une sélection de services de Cloud dans MUSA sur la base de contrôles de sécurité et de confidentialité. L’outil d’assurance MUSA SecAP a également été étendu à l’analyse du comportement et la validation de la solution comprenait des contrôles de confidentialité.
Répondre au défi de la conformité RGPD pour les systèmes multicloud :
Conclusion : La conformité au RGPD-GDPR et à l’assurance de la sécurité dans les systèmes multi-Cloud constituent deux défis majeurs qui entravent la confiance et l’adoption du Cloud. Dans cet article, nous proposons une nouvelle méthodologie d’assurance de la sécurité et de la confidentialité basée sur les accords de niveau de service dans les systèmes Cloud et multi-Cloud, qui intègre de manière transparente les opérations de sécurité dès la conception, de confidentialité par la conception et quantitative. Il repose sur l’utilisation des accords de niveau de sécurité et en tant qu’instruments permettant d’accroître la transparence et la systématisation de l’assurance des mesures de sécurité et de confidentialité proposées par les systèmes Cloud et leurs fournisseurs. Les SLA et les PLA de sécurité formalisent la définition de la fonctionnalité de protection des informations et du niveau de garantie, respectivement pour les fonctionnalités de sécurité et de confidentialité.
L’efficacité du framework MUSA et de l’open source
Il a été prouvé que l’approche MUSA et sa combinaison d’outils open source, le framework MUSA, permettaient une conception respectueuse de la sécurité ainsi que la garantie continue de la sécurité et la collecte des preuves sur la base des métriques spécifiées pour les SLO d’application définis dans le SLA composé. L’assurance dans les applications multi-Cloud nécessite le contrôle global de multiples fonctionnalités de sécurité et de confidentialité au sein de différents composants et couches du Cloud. À cette fin, nous proposons d’adopter des stratégies communes de sécurité et de respect de la vie privée dès la conception, dans le cadre d’une approche complète de DevOps visant à réagir rapidement aux incidents en cours d’exécution.
Parmi les contributions apportées par notre approche, citons: (i) l’intégration de l’assurance de la confidentialité et de la sécurité dans un flux de travaux DevOps unique prenant en charge une évaluation des risques agile et multidisciplinaire, holistique et continue, (ii) de nouveaux mécanismes de composition des accords de niveau de service (SLA Composition) qui permettent lisibles par machine et basées sur les normes de sécurité et de confidentialité (NIST, CSA) et (iii) des mécanismes d’assurance de l’exploitation permettant d’assurer le respect des SLA et la détection précoce des failles de sécurité et de confidentialité des composants de l’application et des services Cloud utilisés.
Le cadre est en cours d’amélioration en optimisant les techniques de composition des accords de niveau de service et l’analyse de la cause fondamentale. Nous travaillons également à l’extension de la solution pour prendre en charge un ensemble complet de contrôles et de mesures de confidentialité.
Retrouvez les articles de Wissam Mallouli sur : http://www.mallouli.com/