Thales banner

Respecter le cadre pour l’adoption des services dans le Cloud en Inde

Normes de base en matière de sécurité et de conformité réglementaire pour les entités réglementées en Inde

Cadre pour l’adoption de services dans le Cloud par le Securities and Exchange Board of India (SEBI)

Test

Le Securities and Exchange Board of India (SEBI) a introduit le Cadre pour l’adoption de services dans le Cloud par les entités réglementées par le SEBI dans la circulaire n° SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033 le 6 mars 2023, qui définit des normes de base en matière de sécurité et de conformité réglementaire. Ce cadre est un complément essentiel aux lignes directrices existantes de SEBI sur le Cloud computing et est conçu pour aider les agences de notation à mettre en œuvre des pratiques d’adoption de Cloud computing sûres et conformes.

L’objectif principal de ce cadre est de mettre en évidence les principaux risques et les mesures de contrôle obligatoires que les entités réglementées doivent mettre en place avant d’adopter le Cloud computing. Le cadre définit également les obligations réglementaires et légales auxquelles doivent se conformer les entités réglementées si elles adoptent de telles solutions.

Thales propose des solutions intégrées qui permettent à votre organisation de se conformer au Cadre pour l’adoption des services dans le Cloud, en mettant l’accent sur les principes de contrôle de la sécurité et de gestion de la concentration des risques.

  • Réglementation
  • Conformité

Présentation de la réglementation

La circulaire relative au cadre pour l’adoption des services dans le Cloud expose les risques propres aux services de Cloud public afin de guider les autorités locales dans l’élaboration de leur stratégie de gestion des risques. Il indique également quelques bonnes pratiques pour atténuer les menaces spécifiques au Cloud. Si les entités réglementées ne mettent pas en place les mesures de sécurité appropriées, comme le recommande la circulaire, les données qu’elles placent dans le Cloud risquent d’être compromises par des acteurs malveillants ; à son tour, tout incident de sécurité qui en résulterait pourrait affecter la capacité des entités réglementées à maintenir la continuité de leurs opérations et à remplir leurs obligations légales.

Le cadre est basé sur des principes et couvre neuf aspects clés dont les thèmes ci-dessous :

  • Développer une stratégie de gestion des risques liés au Cloud public qui prenne en compte les caractéristiques uniques des services de Cloud public ;
  • Mettre en œuvre de contrôles rigoureux dans des domaines tels que la cybersécurité, la protection des données et la gestion des clés de chiffrement
  • Élargir les opérations de cybersécurité pour inclure la sécurité des charges de travail du Cloud public
  • Gérer la résilience du Cloud, l’externalisation, le verrouillage des fournisseurs et les risques de concentration
  • S’assurer que le personnel possède les compétences nécessaires pour gérer les charges de travail et les risques liés au Cloud public.

Le Cadre pour l’adoption de services dans le Cloud par les entités réglementées par le SEBI a été introduit le 6 mars 2023. Ce cadre vient s’ajouter aux circulaires, lignes directrices et avis du SEBI déjà existants et entre en vigueur immédiatement pour toutes les missions/projets d’intégration dans le Cloud nouveaux ou proposés par les entités réglementées. Les entités réglementées qui utilisent actuellement des services dans le Cloud doivent s’assurer que, le cas échéant, tous ces arrangements sont réexaminés et qu’ils sont conformes au cadre dans un délai de 12 mois.

Thales propose des solutions intégrées qui permettent à votre organisation de se conformer au Cadre pour l’adoption des services dans le Cloud, en mettant l’accent sur les principes de contrôle de la sécurité et de gestion de la concentration des risques.

Protéger les données au repos

Thales propose plusieurs solutions pour les données au repos qui peuvent coexister avec le chiffrement natif fourni par le fournisseur de services Cloud.

Protéger les données en transit

Les solutions de chiffrement réseau à haut débit HSE (High Speed Encryption) de Thales sécurisent les données en transit lorsqu’elles passent d’un réseau à l’autre entre les centres de données et le siège, les succursales et les bureaux satellites, et vers les sites de sauvegarde et de récupération après incident, sur site et dans le Cloud.

CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les fournisseurs de services Cloud peuvent effectuer leurs tâches d’administration de système sans obtenir d’accès privilégié aux données sensibles qui se trouvent dans les systèmes qu’ils sont amenés à gérer.

 

Adopter le système BYOE (Bring Your Own Encryption) et BYOK (Bring Your Own Key)

CipherTrust Cloud Key Manager prend en charge les cas d’utilisation Bring Your Own Key (BYOK) et Hold Your Own Key (HYOK) dans plusieurs infrastructures Cloud et applications SaaS dans une interface unique. Il permet l’audit des clés, la génération de clés fortes et la gestion du cycle de vie des clés de bout en bout, ainsi que la rotation, la récupération et la révocation automatiques des clés, fonctionnalités qui ne sont pas disponibles dans les systèmes de gestion des clés (KMS) gérés par les fournisseurs de services Cloud.

Bring Your Own Key (BYOK) et Hold Your Own Key (HYOK) permettent une meilleure séparation des tâches pour les clés de chiffrement, l’entité réglementée pouvant garder le contrôle de ses clés au lieu de les confier au fournisseur de services Cloud.

CipherTrust Transparent Encryption fournit un chiffrement transparent et un contrôle d’accès pour les données résidant dans Amazon S3, Azure Files et autres. Elle offre également des solutions BYOE (Bring Your Own Encryption) avancées dans des environnements de Cloud multiple pour éviter l’« enfermement propriétaire » dû au chiffrement du fournisseur de Cloud et garantir la mobilité des données afin de protéger efficacement les données dans plusieurs fournisseurs de Cloud grâce à une gestion des clés de chiffrement centralisée et indépendante.

 

Protection des clés de chiffrement

Les modules de sécurité matériels (HSM) Luna de Thales permettent aux organisations d’avoir un matériel dédié pour un plus grand degré de contrôle et de propriété sur les clés de chiffrement plutôt qu’avec le fournisseur de services Cloud.

 

Solutions adaptées aux fournisseurs de services Cloud

CipherTrust Cloud Key Manager combine la prise en charge du service BYOK du fournisseur de services cloud et la gestion des clés cloud qui offre aux consommateurs de services cloud des contrôles solides sur les cycles de vie des clés de chiffrement pour les données chiffrées par un fournisseur de services cloud.

CipherTrust Transparent Encryption et CipherTrust Tokenization de Thales offrent également des solutions BYOE (Bring Your Own Encryption) avancées dans des environnements de Cloud multiple pour éviter l’« enfermement propriétaire » dû au chiffrement du fournisseur de Cloud et garantir la mobilité des données afin de protéger efficacement les données dans plusieurs fournisseurs de Cloud grâce à une gestion des clés de chiffrement centralisée et indépendante.

Ressources recommandées

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Les bonnes pratiques en matière de protection des données du cloud et de gestion des clés - White paper

Les bonnes pratiques en matière de protection des données du cloud et de gestion des clés - White paper

Ce document décrit les meilleures pratiques de sécurité pour protéger les données sensibles dans le cloud public et explique des concepts tels que BYOK, HYOK, Bring Your Own Encryption (BYOE), le courtage de clés et la racine de confiance (RoT). Il explique le niveau de...

Autres réglementations de protection des données et sécurité importantes

RGPD

RÉGLEMENTATION
EN VIGUEUR

Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

PCI DSS

MANDAT
EN VIGUEUR

Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

Lois sur la notification des brèches de données

RÉGLEMENTATION
EN VIGUEUR

Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".