A propos de IBM Cloud Security Posture Management (CSPM)
Dans IBM Cloud, IBM Cloud® Security and Compliance Center Workload Protection automatise les contrôles de conformité pour IBM Cloud Framework for Financial Services, Digital Operational Resilience Act (DORA), CIS IBM Cloud Foundations Benchmark, PCI et bien d'autres normes liées à l'industrie ou aux meilleures pratiques. Grâce à un inventaire détaillé de vos ressources et à une hiérarchisation basée sur un contexte complet, il facilite la résolution et la gestion des violations collectées.
Le module de posture Workload Protection prend en charge la validation de la conformité sur IBM Cloud, les environnements multi-cloud (Amazon Web Services, Azure et Google Cloud), les hôtes internes, les machines virtuelles (VSI pour VPC, VMware, PowerVS et IBM Z avec Linux), Kubernetes et OpenShift.
Le module de posture apporte de nombreuses fonctionnalités pour votre CSPM dans vos environnements hybrides :
-
Vue unifiée et centralisée pour gérer la sécurité et la conformité des applications, des charges de travail et de l'infrastructure fonctionnant sur IBM Cloud, chez d'autres fournisseurs de cloud et sur site, couvrant les services gérés, les hôtes, les machines virtuelles et les conteneurs, ainsi que les clusters Kubernetes ou OpenShift.
-
De nombreux cadres prédéfinis tels que Financial Services, PCI, DORA, CIS ou NIST permettent de mettre en œuvre et de valider les contrôles requis pour satisfaire aux normes et aux lois du secteur.
-
Inventaire de tous vos actifs cloud (ressources de calcul, services gérés, identités et droits) et hôtes, machines virtuelles, clusters et toutes les ressources Kubernetes ou OpenShift, qu'elles soient dans le cloud ou sur site.
-
Un flux d'acceptation des risques pour retirer la violation des contrôles défaillants avec des options pour la raison et la période d'expiration de l'acceptation. Le risque peut être accepté au niveau d'une ressource ou globalement pour toutes les ressources à partir d'un contrôle.
-
Des instructions détaillées pour remédier aux contrôles défaillants.
-
Possibilité de créer des politiques, des contrôles et des paramètres de contrôle personnalisés.
Politiques prédéfinies disponibles pour IBM Cloud CSPM dans Workload Protection
Les politiques de posture suivantes peuvent être utilisées pour mettre en œuvre le CSPM pour vos ressources IBM Cloud:
| Règle | Description |
|---|---|
| Les garde-fous de l'IA et des TIC | Les garde-fous TIC pour l'IA fournissent une liste prédéfinie de contrôles de l'infrastructure et des données, nécessaires pour gérer les charges de travail de l'IA et de l'IA générative (GenAI). Ces contrôles comprennent des élaborations spécifiques à l'IA dans des catégories de contrôle telles que la gestion des risques et de la conformité, la sécurité et la performance de l'infrastructure unifiée, la protection des applications et des charges de travail, la protection des données, la gestion des identités et des accès, la journalisation et la surveillance. Cette liste de contrôles doit être utilisée conjointement avec le référentiel de sécurité de l'organisation. |
| Garde-fous pour la sécurité de l'IA 2.0 | L'AI Security Guardrails fournit une liste de contrôles pour l'ensemble de la pile, y compris les applications d'IA, les modèles, les données et les couches d'infrastructure, nécessaires pour gérer les charges de travail d'IA et d'IA générativeGenAI Ces contrôles comprennent des élaborations spécifiques à l'IA dans des catégories de contrôle telles que la gouvernance de l'IA, la protection des applications d'IA, le cycle de vie des modèles d'IA, la classification des données, la sécurité de l'infrastructure et la résilience opérationnelle. |
| Manuel de sécurité de l'information du gouvernement australien (ISM) 2022 | Le modèle de matrice des contrôles du cloud est destiné à être utilisé par les évaluateurs du programme des évaluateurs agréés de l'Infosec (IRAP) pour enregistrer la mise en œuvre des contrôles du manuel de sécurité de l'information (ISM) par un fournisseur de services cloud (CSP). Ce faisant, le modèle CCM fournit des orientations indicatives sur la portée des évaluations de la sécurité, mais il convient de noter que ces orientations ne sont pas définitives et doivent être interprétées par les évaluateurs du PARI dans le contexte des services évalués. Le modèle de CCM tient également compte de la capacité des consommateurs à mettre en œuvre des contrôles pour les services construits à partir des services d'un CSP en identifiant les cas où ils sont responsables de la configuration de leurs propres services conformément à l'ISM. |
| BSI-Standard 200-1 : Gestion de la sécurité de l'information | La norme BSI 200-1, publiée par l'Office fédéral allemand pour la sécurité de l'information (BSI), fournit des lignes directrices complètes pour la mise en place et le maintien d'un système de gestion de la sécurité de l'information (SGSI) efficace. Il décrit les principes fondamentaux et les pratiques nécessaires pour identifier, gérer et atténuer les risques liés à la sécurité de l'information au sein d'une organisation. La norme est structurée de manière à être applicable à différents secteurs et industries, ce qui permet aux organisations de protéger efficacement leurs actifs informationnels, de se conformer aux exigences légales et réglementaires et d'améliorer leur position globale en matière de sécurité. |
| C5:2020 (Catalogue des critères de conformité de l'informatique en nuage) | Le catalogue des contrôles de conformité de l'informatique en nuage (C5), créé par l'Office fédéral allemand pour la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik, ou BSI), décrit les exigences que les fournisseurs de services en nuage doivent respecter afin d'assurer un niveau de sécurité minimal pour leurs services. |
| CCPA (California Consumer Privacy Act) | Le California Consumer Privacy Act (CCPA) est une loi sur la confidentialité des données qui offre aux consommateurs californiens un certain nombre de protections de la vie privée, notamment le droit d'accès, de suppression et de refus de la "vente" de leurs informations personnelles. À partir du 1er janvier 2020, les entreprises qui collectent des informations personnelles sur les résidents californiens et qui atteignent certains seuils (par exemple, revenus, volume de traitement des données) devront se conformer à ces obligations. |
| CIS IBM Cloud Repère Fondations | Vérifiez que la configuration de vos ressources répond aux exigences de base définies par le Center for Internet Security. |
| Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) | La CSA Cloud Controls Matrix (CCM) est un cadre de contrôle de la cybersécurité pour le " computing.It de l'informatique en nuage. Elle est composée de 197 objectifs de contrôle structurés en 17 domaines couvrant tous les aspects clés de la technologie de l'informatique en nuage. Il peut être utilisé comme outil pour l'évaluation systématique de la mise en œuvre d'un nuage, et fournit des conseils sur les contrôles de sécurité qui doivent être mis en œuvre par tel ou tel acteur de la chaîne d'approvisionnement du nuage. Le cadre de contrôle est aligné sur le CSA Security Guidance for Cloud Computing et est considéré comme une norme de facto pour l'assurance et la conformité en matière de sécurité de l'informatique dématérialisée. |
| Loi sur la résilience opérationnelle numérique (DORA)- Règlement (UE) 2022/2554 | La loi sur la résilience opérationnelle numérique (règlement (UE) 2022/2554) résout un problème important dans la réglementation financière de l'UE. Avant la loi DORA, les institutions financières géraient les principales catégories de risque opérationnel principalement par l'allocation de capital, mais elles ne géraient pas toutes les composantes de la résilience opérationnelle. Après la DORA, ils doivent également respecter les règles relatives à la protection, à la détection, au confinement, à la récupération et à la réparation des incidents liés aux TIC. Le DORA fait explicitement référence aux risques liés aux TIC et fixe des règles concernant la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle et la surveillance des risques liés aux TIC par des tiers. Ce règlement reconnaît que les incidents liés aux TIC et un manque de résilience opérationnelle peuvent compromettre la solidité de l'ensemble du système financier, même s'il existe des fonds propres suffisants pour les catégories de risques traditionnelles. |
| Loi sur le DPDP (protection des données personnelles numériques) | Loi prévoyant le traitement des données numériques à caractère personnel d'une manière qui reconnaisse à la fois le droit des personnes à protéger leurs données à caractère personnel et la nécessité de traiter ces données à caractère personnel à des fins licites et pour des questions qui y sont liées ou accessoires. |
| Esquema Nacional de Seguridad (ENS) Haut | En vertu d'une loi espagnole, les citoyens espagnols ont le droit d'accéder aux services publics par voie électronique. Régi par le décret royal 3/2010, l'Esquema Nacional de Seguridad (ENS) (cadre national de sécurité) vise à établir une politique de sécurité pour l'utilisation des médias électroniques. Incluant les services d'informatique en nuage, l'ENS définit des principes de base et des exigences minimales pour la protection de l'information. |
| FedRAMP (Programme fédéral de gestion des risques et des autorisations) Haut niveau de référence | Les agences fédérales et les fournisseurs de services en nuage (CSP) doivent mettre en œuvre ces contrôles de sécurité, ces améliorations, ces paramètres et ces exigences dans un environnement d'informatique en nuage pour satisfaire aux exigences de FedRAMP. Les contrôles de sécurité et les améliorations ont été sélectionnés dans le catalogue de contrôles NIST SP 800-53 Revision 4. Les contrôles et améliorations sélectionnés concernent les systèmes en nuage désignés comme des systèmes d'information à fort impact, tels que définis dans la publication 199 du Federal Information Processing Standards (FIPS). Les données à fort impact se trouvent généralement dans les systèmes des forces de l'ordre et des services d'urgence, les systèmes financiers, les systèmes de santé et tout autre système où la perte de confidentialité, d'intégrité ou de disponibilité pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou les individus. FedRAMP a introduit son High Baseline pour prendre en compte les données non classifiées les plus sensibles du gouvernement dans les environnements de cloud computing, y compris les données qui impliquent la protection de la vie et de la ruine financière. |
| FedRAMP (Programme fédéral de gestion des risques et des autorisations) LI-SaaS Baseline | Les agences fédérales et les fournisseurs de services en nuage (CSP) doivent mettre en œuvre ces contrôles de sécurité, ces améliorations, ces paramètres et ces exigences dans un environnement d'informatique en nuage pour satisfaire aux exigences de FedRAMP. Les contrôles de sécurité et les améliorations ont été sélectionnés dans le catalogue de contrôles NIST SP 800-53 Revision 4. Les contrôles et améliorations sélectionnés concernent les systèmes en nuage désignés comme des systèmes d'information à faible impact, tels que définis dans la publication 199 du Federal Information Processing Standards (FIPS). FedRAMP Tailored a été développé pour soutenir les solutions industrielles à faible risque et à faible coût que les agences peuvent déployer et utiliser. Une politique et des exigences adaptées offrent une voie plus efficace aux fournisseurs de logiciels à faible impact en tant que serviceLI-SaaS. La ligne de base LI-SaaS prend en compte les applications SaaS à faible impact qui ne stockent pas d'informations personnelles identifiables (IPI) au-delà de celles qui sont généralement requises pour la capacité de connexion (c'est-à-dire le nom d'utilisateur, le mot de passe et l'adresse électronique). La documentation de sécurité requise est consolidée et le nombre requis de contrôles de sécurité nécessitant des tests et des vérifications est réduit par rapport à une autorisation de base faible standard. Alors que toutes les exigences identifiées dans le référentiel FedRAMP Low sont requises, FedRAMP Tailored identifie les exigences généralement satisfaites par un client LI-SaaS ou un fournisseur de services sous-jacent, ce qui permet au fournisseur de se concentrer uniquement sur les exigences pertinentes. En outre, FedRAMP Tailored permet aux agences de ne valider de manière indépendante que les exigences les plus importantes. |
| FedRAMP (Federal Risk and Authorization Management Program) Faible niveau de référence | Les agences fédérales et les fournisseurs de services en nuage (CSP) doivent mettre en œuvre ces contrôles de sécurité, ces améliorations, ces paramètres et ces exigences dans un environnement d'informatique en nuage pour satisfaire aux exigences de FedRAMP. Les contrôles de sécurité et les améliorations ont été sélectionnés dans le catalogue de contrôles NIST SP 800-53 Revision 4. Les contrôles et améliorations sélectionnés concernent les systèmes en nuage désignés comme des systèmes d'information à faible impact, tels que définis dans la publication 199 du Federal Information Processing Standards (FIPS). L'impact faible est le plus approprié pour les OSC où la perte de confidentialité, d'intégrité et de disponibilité n'aurait que des effets négatifs limités sur les opérations, les biens ou les personnes d'une agence. FedRAMP dispose actuellement de deux lignes de base pour les systèmes contenant des données à faible impact : LI-SaaS Baseline et Low Baseline. |
| FedRAMP (Federal Risk and Authorization Management Program) Référence modérée | Les agences fédérales et les fournisseurs de services en nuage (CSP) doivent mettre en œuvre ces contrôles de sécurité, ces améliorations, ces paramètres et ces exigences dans un environnement d'informatique en nuage pour satisfaire aux exigences de FedRAMP. Les contrôles de sécurité et les améliorations ont été sélectionnés dans le catalogue de contrôles NIST SP 800-53 Revision 4. Les contrôles et améliorations sélectionnés concernent les systèmes en nuage désignés comme des systèmes d'information à impact modéré tels que définis dans la publication 199 du Federal Information Processing Standards (FIPS). Les systèmes à impact modéré représentent près de 80 % des applications CSP qui reçoivent l'autorisation FedRAMP et sont les plus appropriés pour les OSC où la perte de confidentialité, d'intégrité et de disponibilité aurait des effets négatifs graves sur les opérations, les actifs ou les individus d'une agence. Les effets négatifs graves peuvent inclure des dommages opérationnels importants aux biens de l'agence, des pertes financières ou des préjudices individuels qui ne sont pas des pertes de vie ou des dommages physiques. |
| Règlement général sur la protection des données RGPD | Bienvenue sur le site gdpr-info.eu Vous trouverez ici le PDF officiel du Règlement (UE) 2016/679 (Règlement général sur la protection des données) dans la version actuelle du JO L 119, 04.05.2016; cor. JO L 127 du 23.5.2018 sous la forme d'un site web bien structuré. Tous les articles du GDPR sont liés à des considérants appropriés. Le règlement européen sur la protection des données est applicable depuis le 25th mai 2018 dans tous les États membres afin d'harmoniser les lois sur la confidentialité des données à travers l'Europe. Si vous trouvez cette page utile, n'hésitez pas à nous soutenir en partageant le projet. |
| HIPAA (Health Insurance Portability and Accountability Act) Règle de sécurité | La règle de sécurité de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) traite spécifiquement des informations électroniques protégées sur la santé (EPHI). Elle définit trois types de mesures de sécurité nécessaires pour assurer la conformité : administratives, physiques et techniques. Pour chacun de ces types, la règle identifie diverses normes de sécurité, et pour chaque norme, elle nomme les spécifications de mise en œuvre requises et adressables. Les spécifications requises doivent être adoptées et gérées conformément à la règle. Les spécifications adressables sont plus souples. Chaque entité couverte peut évaluer sa propre situation et déterminer la meilleure façon de mettre en œuvre les spécifications adressables. |
| HITRUST CSF (Common Security Framework) | Le HITRUST CSF fournit la structure, la transparence, l'orientation et les références croisées à des sources faisant autorité dont les organisations du monde entier ont besoin pour être certaines de leur conformité en matière de protection des données. Le développement initial du HITRUST CSF s'est appuyé sur des réglementations, des normes et des cadres de sécurité et de protection de la vie privée acceptés au niveau national et international, notamment ISO, NIST, PCI, HIPAA et GDPR, afin de garantir un ensemble complet de contrôles de sécurité et de protection de la vie privée et d'intégrer en permanence d'autres sources faisant autorité. Le HITRUST CSF normalise ces exigences, en apportant clarté et cohérence et en réduisant le fardeau de la conformité. |
| IBM Cloud Cadre pour les services financiers | IBM Cloud pour les services financiers™ est une plateforme ouverte qui réunit des éditeurs de logiciels indépendants (ISV), des fournisseurs de logiciels
en tant que service (SaaS) et des institutions de services financiers au sein d'un écosystème unique. Dans cette plateforme cloud sécurisée, vous pouvez rapidement développer et partager des applications, des API, des données et du contenu
innovants pour répondre aux besoins uniques de votre institution financière.
Grâce au IBM Cloud Framework for Financial Services, vous pouvez accéder à un ensemble unifié de contrôles de sécurité et de conformité, qui a été conçu spécifiquement pour et avec le secteur des services financiers. Pour répondre à vos besoins évolutifs en tant qu'institution financière, IBM valide continuellement ces contrôles avec des conseils mondiaux de CSO, CTO et CIO de grandes banques, de fournisseurs d'assurance et de conseillers en réglementation. Le profil IBM Cloud pour les services financiers vous fournit un ensemble d'objectifs automatisés préconfigurés qui sont mis en correspondance avec les IBM Cloud Framework for Financial Services exigences de contrôle. Les résultats de ces tests vous aident à valider la conformité lorsque vous utilisez l'une des architectures de référence pour le IBM Cloud pour les services financiers. |
| ISMAP (Programme de gestion et d'évaluation de la sécurité des systèmes d'information) | Le programme de gestion et d'évaluation de la sécurité des systèmes d'information (ISMAP) vise à garantir le niveau de sécurité des achats de services en nuage du gouvernement en évaluant et en enregistrant à l'avance les services en nuage qui répondent aux exigences de sécurité du gouvernement, contribuant ainsi à l'introduction harmonieuse des services en nuage. |
| MITRE ATT&CK for Enterprise | MITRE ATT&CK® est une base de connaissances mondialement accessible sur les tactiques et les techniques des adversaires, basée sur des observations du monde réel. La base de connaissances ATT&CK sert de fondement à l'élaboration de modèles de menaces et de méthodologies spécifiques dans le secteur privé, dans les administrations publiques et dans la communauté des produits et services de cybersécurité. |
| MITRE DEFEND | Dans le cadre de projets menés pour nos commanditaires, nous avons à maintes reprises rencontré le besoin d'un modèle permettant de spécifier avec précision les composants et les capacités des contre-mesures de cybersécurité. En outre, il est nécessaire que les praticiens sachent non seulement quelles menaces une capacité prétend traiter, mais aussi comment ces menaces sont traitées d'un point de vue technique, et dans quelles circonstances la solution fonctionnerait. Ces connaissances sont essentielles pour estimer l'applicabilité opérationnelle, identifier les forces et les faiblesses et développer des solutions d'entreprise comprenant des capacités multiples. Pour répondre à ce besoin récurrent à court terme, nous avons créé D3FEND, un cadre dans lequel nous codons une base de connaissances sur les contre-mesures, mais plus précisément un graphe de connaissances. Le graphe contient des types et des relations sémantiquement rigoureux qui définissent à la fois les concepts clés du domaine des contre-mesures de cybersécurité et les relations nécessaires pour relier ces concepts entre eux. Pour chacun des concepts et des relations, nous nous appuyons sur des références particulières dans la littérature relative à la cybersécurité. |
| Directive NIS2 (Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union) | Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures pour un niveau commun élevé de cybersécurité dans l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive NIS 2). |
| Cadre de cybersécurité du NIST (CSF) | Cette publication est le résultat d'un effort continu de collaboration entre l'industrie, le monde universitaire et le gouvernement. Le National Institute of Standards and Technology (NIST) a lancé le projet en convoquant des organisations et des personnes des secteurs privé et public en 2013. Publié en 2014 et révisé en 2017 et 2018, ce cadre pour l'amélioration de la cybersécurité des infrastructures critiques s'est appuyé sur huit ateliers publics, de multiples demandes de commentaires ou d'informations et des milliers d'interactions directes avec des parties prenantes de tous les secteurs des États-Unis et de nombreux secteurs du monde entier. |
| NIST SP 800-53 (Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations) | Une politique de conformité fournissant un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations afin de protéger les opérations et les biens de l'organisation, les individus, les autres organisations et la nation contre un ensemble varié de menaces et de risques, y compris les attaques hostiles, les erreurs humaines, les catastrophes naturelles, les défaillances structurelles, les entités de renseignement étrangères et les risques pour la vie privée. Les contrôles sont souples et personnalisables et sont mis en œuvre dans le cadre d'un processus de gestion des risques à l'échelle de l'organisation. Les contrôles répondent à diverses exigences découlant de la mission et des besoins de l'entreprise, des lois, des ordres exécutifs, des directives, des règlements, des politiques, des normes et des lignes directrices. Enfin, le catalogue consolidé des contrôles aborde la sécurité et la protection de la vie privée sous l'angle de la fonctionnalité (c'est-à-dire la force des fonctions et des mécanismes fournis par les contrôles) et sous l'angle de l'assurance (c'est-à-dire la mesure de la confiance dans la capacité de sécurité ou de protection de la vie privée fournie par les contrôles). La prise en compte de la fonctionnalité et de l'assurance permet de garantir que les produits des technologies de l'information et les systèmes qui s'appuient sur ces produits sont suffisamment dignes de confiance. |
| PCI DSS (Payment Card Industry Data Security Standard) v4.0.0 | La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) a été élaborée pour encourager et renforcer la sécurité des données des comptes de cartes de paiement et faciliter l'adoption généralisée de mesures cohérentes de sécurité des données à l'échelle mondiale. La norme PCI DSS fournit un ensemble d'exigences techniques et opérationnelles destinées à protéger les données des comptes. Bien qu'elle soit spécifiquement conçue pour les environnements contenant des données de comptes de cartes de paiement, la norme PCI DSS peut également être utilisée pour se protéger contre les menaces et sécuriser d'autres éléments de l'écosystème de paiement. |
| Cadre RBI | L'utilisation des technologies de l'information par les banques et leurs clients s'est développée rapidement et fait désormais partie intégrante des stratégies opérationnelles des banques. La Banque de réserve a fourni des lignes directrices sur la sécurité de l'information, la banque électronique, la gestion des risques technologiques et les cyberfraudes (comitéG.Gopalakrishna ) par le biais de la circulaire " DBS.CO.ITC.BC.No.6/31.02.008/2010-11 datée du 29 avril 2011, dans laquelle il est indiqué que les mesures suggérées pour la mise en œuvre ne peuvent pas être statiques et que les banques doivent créer/affiner/modifier de manière proactive leurs politiques, procédures et technologies sur la base des nouveaux développements et des préoccupations émergentes. |
| Loi SEBI (Securities and Exchange Board of India) | Loi prévoyant la création d'un conseil chargé de protéger les intérêts des investisseurs en valeurs mobilières, de promouvoir le développement du marché des valeurs mobilières et de le réglementer, et portant sur des questions connexes ou accessoires. |
| SOC 2 | SOC 2 est une norme de conformité volontaire pour les organisations de services, développée par l'American Institute of CPAs (AICPA). Son objectif est de garantir la sécurité et la confidentialité des données des utilisateurs. Il décrit les cinq principes du service de confiance que sont la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée des données des clients, en tant que cadre pour la sauvegarde des données. SOC 2 s'applique à tout fournisseur de services technologiques ou SaaS qui traite ou stocke des données clients. Les fournisseurs tiers, les autres partenaires ou les organisations de soutien avec lesquels ces entreprises travaillent doivent également se conformer à la norme SOC 2 afin de garantir l'intégrité de leurs systèmes de données et de leurs mesures de protection. |
Toutes les autres politiques de posture s'appliquent à d'autres environnements tels que AWS, Azure, GCP, Kubernetes, OpenShift, ou des hôtes.
Etapes suivantes
Pour tirer le meilleur parti de Workload Protection, activez le CSPM en suivant les étapes décrites dans Mise en œuvre du CSPM(Cloud Security Posture Management)pour IBM Cloud à l'aide de l'interface utilisateur et de la CLI.