Guide pratique pour la sécurité du Cloud computing (ISPG-SM04) pour les bureaux et les services

Test

L’Office of the Government Chief Information Officer (OGCIO) de Hong Kong attache une grande importance à l’amélioration de la sécurité de l’information et de la cybersécurité au sein du gouvernement, ainsi qu’à la sensibilisation et à la préparation de l’ensemble de la communauté. En réponse à l’utilisation du Cloud computing qui devient une tendance mondiale, l’OGCIO a élaboré le guide pratique pour la sécurité du Cloud computing (ISPG-SM04).

Thales permet aux bureaux et services de Hong Kong de s’aligner sur les exigences de l’ISPG-SM04, en partie grâce aux éléments suivants :

Simplification de la sécurité des données et accélération de la mise en conformité
Sécurité des données sensibles au repos grâce au chiffrement/à la tokenisation
Centralisation de la gestion des clés de chiffrement pour les environnements hybrides et multicloud
Proposition de contrôles d’accès granulaires

Réglementation
Conformité

Présentation de la réglementation

Le guide pratique pour la sécurité du Cloud computing (ISPG-SM04) est une note d’orientation destinée aux bureaux et services, qui met en évidence les considérations de sécurité communes et les meilleures pratiques de sécurité de l’industrie pour l’adoption du Cloud computing avec les objectifs ci-dessous :

Améliorer la compréhension des bureaux et services sur les bases de la sécurité des Clouds ; et
Faciliter l’utilisation sécurisée du Cloud computing lors de la création de leur propre Cloud privé ou de l’acquisition de services en Cloud auprès de parties externes.

Le Cloud computing utilise des outils de gestion, des systèmes d’exploitation, des bases de données, des plateformes de serveurs, des infrastructures de réseau, des protocoles de réseau, des baies de stockage, etc. similaires. Par conséquent, les contrôles de sécurité dans le Cloud computing sont largement similaires à ceux des environnements informatiques traditionnels. Ainsi, les contrôles de sécurité décrits dans les documents de sécurité du gouvernement de Hong Kong, y compris la politique de sécurité informatique de base [S17] et les lignes directrices sur la sécurité informatique [G3], resteront d’application. La description de l’ISPG-SM04 se concentre sur les domaines de sécurité suivants :

Responsabilités de gestion
Politiques de sécurité en matière d’informatique
Sécurité des ressources humaines
Gestion des actifs
Contrôle des accès
Chiffrement
Sécurité physique et environnementale
Opération sécurité
Sécurité des communications
Acquisition, développement et maintenance des systèmes
Externalisation de la sécurité
Gestion des incidents de sécurité
Aspects de la sécurité informatique dans le cadre de la gestion de la continuité des activités
Conformité

Thales permet aux bureaux et services de Hong Kong de s’aligner sur les exigences de l’ISPG-SM04 grâce aux éléments suivants :

Gestion des actifs
Contrôle d’accès - Gestion des clés et gestion des identités et des accès
Chiffrement

Gestion des actifs

La plateforme CipherTrust Data Security Platform (CDSP) de Thales, une suite intégrée de produits et de solutions de sécurité centrés sur les données, aide les bureaux et services à se conformer efficacement aux directives en protégeant les données au repos et en transit par un chiffrement robuste.

Protéger les données au repos :

Une fois que les bureaux et services savent où se trouvent leurs données sensibles, des mesures de protection telles que le chiffrement ou la tokenisation peuvent être appliquées. Pour que le chiffrement et la tokenisation parviennent à sécuriser les données sensibles, les bases de données et les applications avec une architecture modernisée, les clés de chiffrement elles-mêmes doivent être sécurisées, gérées et contrôlées par l’organisation.

Protection des données sensibles en transit

Dispositifs de chiffrement à haut débit de Thales (HSE)

Contrôle des accès - Gestion des clés

La plateforme CipherTrust Data Security Platform (CDSP) de Thales offre des solutions avancées de chiffrement et de gestion centralisée des clés qui permettent aux entreprises de stocker des données sensibles dans le cloud en toute sécurité. CDSP offre une gestion robuste des clés d’entreprise à travers plusieurs fournisseurs de services Cloud et des environnements Cloud hybrides pour gérer de manière centralisée les clés de chiffrement et configurer les politiques de sécurité afin que les organisations puissent contrôler et protéger les données sensibles dans le Cloud, sur site et dans les environnements hybrides.

Thales Cipher Trust Cloud Key Manager (CCKM) de CDSP

Contrôle des accès - gestion des identités et des accès (IAM)

Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour être conformes.

Chiffrement

Les bureaux et services peuvent gérer et protéger les clés de chiffrement avec les HSM Luna de Thales et CipherTrust Manager.

Le HSM Luna de Thales protège les clés de chiffrement et fournit un environnement renforcé et inviolable pour des opérations de chiffrement (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées.
CipherTrust Manager simplifie la gestion des clés de chiffrement sur tout le cycle de vie, y compris la génération, la sauvegarde/restauration, le regroupement, la désactivation et la suppression sécurisés des clés.

Ressources recommandées

Addressing requirement of Practice Guide for Cloud Computing Security (ISPG-SM04) of Hong Kong with Thales - eBook

As the leader in digital security and data protection, Thales has helped hundreds of enterprises comply with regulations worldwide by recommending the appropriate data protection technologies required to meet regulatory requirements. Thales enables Bureaux and Departments...

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

Multicloud Data Security Strategies - White Paper

As the forces that drive a multicloud strategy become clear, the challenges of securing data across multiple clouds meets the reality that a significant amount of global sensitive data is stored in the cloud. This paper informs readers on some of the drivers for multicloud...

RGPD

RÉGLEMENTATION

EN VIGUEUR

Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

PCI DSS

MANDAT

EN VIGUEUR

Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

Lois sur la notification des brèches de données

RÉGLEMENTATION

EN VIGUEUR

Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".