ClickCease Maintenir la conformité des services de cloud computing avec la réglementation FedRAMP et éviter les amendes lourdes - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Maintenez la conformité des services en nuage avec la réglementation FedRAMP et évitez les amendes lourdes

10 novembre 2020 - L'équipe de relations publiques de TuxCare

Maintenez la conformité des services en nuage avec la réglementation FedRAMP et évitez les amendes lourdesDe nos jours, les mauvais acteurs continuent de cibler les organisations gouvernementales. Parallèlement à l'augmentation des technologies de ciblage, les attaques visant des cibles gouvernementales presque doublé en 2019 par rapport à 2017. Il s'agit surtout de sauts importants à la fois dans les activités de reconnaissance et dans les attaques spécifiques aux applications. Cette évolution a été favorisée par une augmentation des services fournis par internet, conçus pour aider les citoyens à obtenir une assistance régionale ou locale. Malheureusement, ces mêmes applications sur Internet ont fourni des opportunités supplémentaires aux attaquants et ont conduit à d'importantes violations de données ayant un impact sur les agences fédérales et étatiques aux États-Unis.

 

Contenu :

  1. Applications patrimoniales non corrigées dans le secteur public
  2. Qu'est-ce que FedRAMP ?
  3. FedRAMP est crucial pour les fournisseurs de services en nuage qui soutiennent les agences fédérales
  4. Utiliser KernelCare pour rester conforme à FedRAMP
  5. Conclusion

 

Applications patrimoniales non corrigées dans le secteur public

Applications patrimoniales non corrigées dans le secteur public

Outre les attaques d'applications, les collectivités locales ont subi les conséquences importantes d'attaques par déni de service (DoS) et par ransomware. Ces attaques peuvent être difficiles à cacher aux clients, et les petites administrations disposent rarement des ressources nécessaires pour faire face à des pannes importantes.

 

Pour aider les gouvernements à faire face aux nombreuses menaces d'origine étatique qui les visent, le cloud offre une technologie permettant d'exécuter des services fiables et évolutifs avec les contrôles d'accès et les outils de surveillance nécessaires à la conformité. Ces outils sont à la disposition des agences gouvernementales (et d'autres entreprises clientes), mais ils sont souvent utilisés de manière inappropriée ou mal configurés. Ces erreurs sont considérées comme des erreurs humaines, mais les erreurs humaines sont responsables de certaines des plus grandes violations de données à ce jour. 

 

Les services d'hébergement en nuage conformes ont une responsabilité partagée, ce qui signifie que le fournisseur de nuage vous donne tous les outils nécessaires pour protéger vos données, mais qu'il vous incombe de configurer ces services correctement. Comme vous pouvez l'imaginer, les administrateurs qui ne sont pas familiers avec le fonctionnement des outils du cloud peuvent facilement commettre une erreur critique dans les configurations de sécurité. Un récent rapport 2020 rapport a montré que 30 milliards d'enregistrements ont été exposés au cours des deux dernières années en raison de mauvaises configurations du cloud.

 

Non seulement les administrateurs du cloud computing sont confrontés à des problèmes de mauvaise configuration, mais les logiciels obsolètes sont courants dans les systèmes gouvernementaux. Les gouvernements sont connus pour avoir des applications héritées fonctionnant sur site. De nombreux fournisseurs de services en nuage (par exemple, Google Cloud Platform) proposent des services de migration des applications existantes afin de fournir une meilleure puissance de calcul sur des logiciels obsolètes, mais de nombreuses agences utilisent encore des technologies obsolètes sur site qui coûtent des milliards de dollars aux contribuables. A rapport du Government Accountability Office (GAO) a révélé que certaines agences gouvernementales utilisent des technologies vieilles de plusieurs décennies (par exemple, des lecteurs de disquettes). Plus inquiétant encore, le GAO a découvert que 12 agences gouvernementales utilisaient des systèmes d'exploitation non pris en charge. Les logiciels obsolètes et non pris en charge ne reçoivent plus de correctifs de sécurité, ce qui en fait une cible parfaite pour les cybercriminels.

 

Un exemple récent exemple de ce qui peut arriver avec un logiciel non patché est le logiciel de paiement Click2Gov utilisé comme portail de paiement en libre-service hébergé localement par plusieurs agences gouvernementales américaines. Le logiciel s'est révélé vulnérable en 2017 et des correctifs ont été déployés, mais des pirates ont réussi à compromettre plusieurs agences gouvernementales en ciblant des versions non corrigées du logiciel Click2Gov. Dans la foulée, les résidents de plusieurs comtés américains ont été victimes d'une fraude d'identité, leurs informations ayant été vendues sur les marchés du darknet.

 

 

Qu'est-ce que FedRAMP ?

Qu'est-ce que FedRAMP ?

Le programme fédéral de gestion des risques (FedRAMP) a été créé pour répondre aux préoccupations selon lesquelles les agences gouvernementales utilisaient des ressources en nuage mais que des contrôles inadéquats en place laissaient les données publiques exposées aux attaquants. Tout d'abord, il stipule que seuls les fournisseurs de services en nuage ayant reçu l'approbation de FedRAMP peuvent travailler avec les agences gouvernementales. L'approbation exige la mise en place d'une longue liste de contrôles de sécurité et de fonctions de confidentialité des données pour protéger les informations personnelles identifiables (PII).

 

Un fournisseur de services en nuage dont les centres de données ne sont pas conformes à la norme FedRAMP ne peut pas héberger les données du gouvernement fédéral, et pourrait donc perdre des revenus. D'autres problèmes de conformité pourraient également interférer avec d'autres clients tels que les soins de santé (HIPAA) ou le commerce électronique (PCI-DSS), mais les contrôles de sécurité FedRAMP se chevauchent avec de nombreuses autres normes de conformité importantes pour les hébergeurs de nuages.

 

 

FedRAMP est crucial pour les fournisseurs de services en nuage qui soutiennent les agences fédérales

FedRAMP est crucial pour les fournisseurs de services en nuage qui soutiennent les agences fédérales

 

FedRAMP est un processus rigoureux et exige des protections strictes en matière de cybersécurité pour rester autorisé en tant que fournisseur agréé. Les fournisseurs doivent fompléter NIST SP 800-53qui est un cadre de cybersécurité définissant la manière dont les fournisseurs conçoivent et entretiennent leur infrastructure. Si les contrôles et les protections de sécurité adéquats ne sont pas mis en place, les agences gouvernementales ne peuvent pas utiliser le fournisseur, ce qui pourrait être dévastateur pour une organisation qui soutient plusieurs agences fédérales.

 

Une exigence générale du FedRAMP est que le fournisseur de services en nuage doit avoir mis en place des protections raisonnables pour sauvegarder les données. Les logiciels non corrigés, en particulier les systèmes d'exploitation des serveurs, n'offrent pas un environnement sécurisé aux clients. Les vulnérabilités trouvées dans les logiciels non corrigés pourraient être exploitées pour exposer les PII, ce qui pourrait entraîner de lourdes amendes pour le fournisseur de services en nuage et potentiellement une perte de revenus et de clients.

 

 

Utiliser KernelCare pour rester conforme à FedRAMP

Utiliser KernelCare pour rester conforme à FedRAMP

Pour rester conforme, il faut mettre à jour tout logiciel vulnérable, faute de quoi vous risquez des amendes. La correction des failles de FedRAMP (SI-2) exige que les organisations "identifient, signalent et corrigent les failles du système". La protection contre les codes malveillants (SI-3) est également une exigence selon laquelle les organisations doivent "employer des mécanismes de protection contre les codes malveillants aux points d'entrée et de sortie du système d'information afin de détecter et d'éradiquer les codes malveillants." Ces deux exigences peuvent être couvertes par l'utilisation de scanners de vulnérabilité et de solutions de correction.

 

En analysant les serveurs, les administrateurs peuvent se conformer aux exigences de FedRAMP, mais l'application de correctifs pose souvent problème. L'application des correctifs nécessite des tests et des redémarrages, ce qui se traduit par des temps d'arrêt. KernelCare s'intègre à n'importe quelle solution d'analyse, corrige les serveurs contenant des logiciels vulnérables et ne nécessite aucun redémarrage une fois la correction effectuée. Il s'agit d'une solution de correction complète qui couvre les exigences FedRAMP SI-2 et SI-3. 

 

FedRAMP n'est pas la seule norme de conformité que les fournisseurs de services en nuage doivent suivre. Par exemple, la conformité SOC 2 est essentielle pour les centres de données hébergeant les applications et les données des clients. Sarbanes-Oxley, PCI-DSS, HIPAA et d'autres normes de conformité exigent des organisations qu'elles incluent des mesures de cybersécurité qui protègent les données de manière proactive, sous peine de se voir infliger de lourdes amendes. Grâce à KernelCare, ces centres de données restent conformes à toute norme réglementaire supervisant la sécurité des données.

 

 
Conclusion

Les fournisseurs de cloud ne peuvent pas se permettre de faire une erreur et de perdre leur conformité. Non seulement c'est un oubli coûteux, mais cela signifie également la perte de tout client gouvernemental et de tous les autres qui doivent utiliser un hébergement avec une infrastructure de conformité soutenue en place. Grâce à KernelCare, les entreprises, les centres de données et les fournisseurs de services en nuage peuvent s'assurer qu'ils suivent des protocoles qui réduisent les risques de menaces et gèrent les logiciels non corrigés sans qu'il soit nécessaire de procéder à des redémarrages et à des temps d'arrêt.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information