Centre du règlement général sur la protection des données (RGPD)

Contrôle des clients

Transferts depuis l'Espace économique européen (EEE)

Mesures techniques et organisationnelles

• Comment le RGPD affecte-t-il le modèle de responsabilité partagée d'AWS ?

  Le RGPD ne change pas le modèle de responsabilité partagée d'AWS qui reste valable pour les clients. Le modèle de responsabilité partagée est une approche pratique pour illustrer les responsabilités différentes d'AWS (en tant que sous-traitant) et les clients (en tant que responsables du traitement ou sous-traitants) dans le cadre de la RGPD.

  Dans le modèle de responsabilité partagée, AWS est responsable de la sécurisation de l'infrastructure sous-jacente qui prend en charge les services AWS (« la sécurité DU cloud »). Les clients ayant le rôle de responsable du traitement ou de sous-traitant, sont responsables de toutes les données personnelles qu'ils téléchargent vers les services AWS (« la sécurité DANS le cloud »).
  

  Responsabilité d'AWS pour la « sécurité du cloud » : AWS est responsable de la protection de l'infrastructure mondiale exécutant tous les services AWS. Cette infrastructure est composée de matériel, de logiciels, de mises en réseau et d'installations qui exécutent les services AWS, ce qui offre des contrôles puissants aux clients, notamment des contrôles de configuration de la sécurité pour la gestion du contenu client. AWS fournit différents rapports de conformité de la part d'auditeurs tiers qui ont vérifié sa conformité avec une large gamme de normes et de règlementations de sécurité informatique (pour en savoir plus, consultez la page Web Conformité AWS). Ces rapports montrent à nos clients que nous protégeons les données client. La conformité d'AWS aux normes ISO 27001, 27017 et 27018 sont de bons exemples. ISO 27018 contient des contrôles de sécurité qui se concentrent sur la protection des données client.
  

  Responsabilité des clients pour la « sécurité dans le cloud » : les clients AWS sont responsables de la création de l'architecture et de la sécurisation des applications et des solutions qu'ils choisissent de déployer sur les services AWS. Les clients AWS sont également responsables de la configuration des services AWS de manière à protéger la confidentialité, l'intégrité et les exigences de sécurité de leurs données client. Les responsabilités spécifiques que les clients ont quant à la sécurisation de leurs données client varient selon les services AWS qui les clients choisissent d'utiliser et de la façon dont ces services sont intégrés aux environnements informatiques des clients. Les clients AWS disposent d'une visibilité et d'un contrôle sur leurs données client, et ils peuvent implémenter des contrôles de sécurité flexibles en fonctions de la sensibilité du type des données client. Les clients peuvent faire cela en utilisant leurs propres outils et mesures de sécurité, ou en utilisant les outils et mesures de sécurité qu'AWS ou d'autres fournisseurs mettent à la disposition des clients. Ainsi, les clients peuvent mettre en place des niveaux de sécurité supplémentaires pour les données client les plus sensibles.
  

  AWS met à disposition de ses clients des produits, des outils et des services pouvant être utilisés pour créer l'architecture et sécuriser leurs applications et leurs solutions, et pouvant être déployés pour les aider à gérer les exigences du GPD, dont :

  • AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
  • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
  • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.
  • Amazon Macie est un outil de machine learning permettant de faciliter la détection et la classification des données personnelles stockées dans Amazon S3.

  Consultez notre livre blanc, Assurer la conformité au RGPD sur AWS, pour en savoir plus sur l'utilisation des ressources AWS conformément aux RGPD.
  

• Les partenaires AWS proposent-ils des produits et services visant à se conformer au RGPD ?

  Oui, vous pouvez rechercher « RGPD » dans l'outil AWS Partner Solutions Finder pour les aider à trouver des fournisseurs indépendants de logiciels (ISV), des fournisseurs de services gérés (MSP) et des partenaires intégrateurs de systèmes (SI) proposant des produits et des services destinés à aider à respecter la conformité au RGPD. Les clients peuvent également rechercher des solutions « RGPD » sur AWS Marketplace.

• AWS offre-t-il des services professionnels pour aider à atteindre la conformité avec le RGPD ?

  Oui, l'équipe des services AWS Professional Services propose plusieurs activités pour aider les clients dans la transition vers la conformité au RGPD. Cette équipe certifiée de professionnels de la conformité aide les clients à atteindre, maintenir et automatiser la conformité dans le cloud en combinant les normes de conformité applicables aux fonctionnalités spécifiques des services AWS. Vous trouverez de plus amples informations sur la façon dans les consultants de l'équipe des services AWS Professional Services aident les clients ici.
  

• Comment est-ce qu'AWS Support peut m'aider dans ma transition vers la conformité au RGPD ?

  Les clients peuvent utiliser AWS Support pour bénéficier de conseils techniques afin de les aider dans leur transition vers la conformité RGPD. Dans le cadre de cette activité, nous avons des équipes d'ingénieurs d'assistance cloud et de gestionnaires techniques de compte (TAM) qui sont entraînées pour aider à identifier et limiter les risques liés à la conformité. Le niveau de support fournit par AWS dépend du programme AWS Support que les clients sélectionnent. Les clients cherchant à comprendre l'intérêt de la formule Premium d'AWS Support peuvent trouver plus d'informations dans l'AWS Support Center, disponible via AWS Management Console, en utilisant les coordonnées indiquées dans le contrat d'assistance entreprise passé avec AWS ou en consultant la page Web AWS Support. Les clients ayant souscrit à la formule Enterprise Support doivent contacter leur TAM pour les questions concernant le RGPD.
  

  Voici deux programmes pouvant aider les clients dans leur poursuite de la conformité RGPD :
  

  • La révision des opérations cloud : disponible pour les clients AWS Enterprise Support, ce programme est conçu pour aider à identifier les brèches dans leur approche de l'exécution dans le cloud. Provenant d'un ensemble de bonnes pratiques opérationnelles tirées de l'expérience d'AWS avec une grande variété de clients représentatifs, ce programme offre une révision des opérations du cloud et des pratiques de gestion associées, ce qui peut aider les organisations dans leur transition vers la conformité RGPD. Le programme utilise une approche en quatre piliers. Il se concentre sur la préparation, la surveillance, l'exécution et l'optimisation des systèmes basés sur le cloud afin d'atteindre une excellence opérationnelle.
  • La vérification Well-Architected : ce programme permet aux organisations de comparer leur architecture avec les bonnes pratiques AWS et de construire des architectures qui sont sécurisées, fiables, hautement performantes et rentables. Les vérifications Well-Architected permettent également aux clients de comprendre où leur architecture présente des risques et comment éliminer ces risques avant que les applications ne soient mises en production.
    
    

• Comment est-ce qu'AWS peut aider les clients à respecter leurs obligations dans le cadre du RGPD en ce qui concerne les notifications des violations de données personnelles ?

  AWS dispose d'une surveillance des accidents de sécurité et d'un processus de notification des violations de données. Il informera les clients de toute violation de sécurité AWS dans les meilleurs délais et conformément au DPA d'AWS. AWS offre également un certain nombre d'outils aux clients pour comprendre qui a accès à leurs ressources, quand et depuis quel emplacement. Un de ces outils est AWS CloudTrail qui autorise la gouvernance, la conformité, l'audit opérationnel et l'audit de risque d'un compte AWS. Avec AWS CloudTrail, les clients peuvent consigner, surveiller en continu et conserver l'activité de leur compte relative aux actions effectuées sur l'ensemble de leur infrastructure AWS. Cela aide les organisations à comprendre ce qu'il se passe avec leur infrastructure AWS et à prendre des mesures en cas d'activités inhabituelles, immédiatement. Pour plus d'informations sur les autres outils de sécurité qu'AWS propose à ces clients pour les aider à respecter leurs exigences en tant que responsables du traitement des données dans le cadre de la LGPD, consultez la page Web Sécurité dans le cloud AWS.  

• Comment est-ce qu'AWS m'aide à protéger mes données client contre les cyberattaques ?

  AWS donne aux clients et aux partenaires APN un certain nombre d'outils pour sécuriser leurs données client et les aider à se protéger des cyberattaques. Un de ces outils est AWS Shield. Il s'agit d'un service géré de protection contre les attaques par déni de service (DDoS) pour protéger les sites Web et les applications s'exécutant sur AWS. AWS Shield Standard est disponible sans engendrer de coûts supplémentaires et offre des fonctions de détection continue et d'atténuation automatique intégrée qui peuvent minimiser les temps d'arrêt et la latence des applications. Pour obtenir des niveaux de protection supérieurs contre les attaques visant des applications Web s'exécutant sur AWS et utilisant les ressources ELB, Amazon CloudFront et Amazon Route 53, les clients et les partenaires APN peuvent souscrire à AWS Shield Advanced. AWS publie et met systématiquement à jour AWS Best Practices for DDoS Resiliency qui peut aider les clients à utiliser AWS afin de concevoir des applications résistantes aux attaques DDoS.

  Les autres outils dont AWS dispose pour aider à protéger les données client des cyberattaques sont notamment :

  • AWS Identity and Access Management (IAM) permet aux organisations de contrôler de façon sécurisée l'accès aux services et ressources AWS. En utilisant IAM, les clients et les partenaires APN peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
  • AWS Config permet aux clients et aux partenaires APN d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
  • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions dans AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
  • Amazon GuardDuty est un service géré de détection des menaces, qui surveille en continu les comportements malveillants ou non autorisés pour vous aider à protéger vos comptes AWS et vos charges de travail. Il surveille les activités pouvant indiquer un compte possiblement compromis, comme des appels d'API inhabituels ou des déploiements potentiellement non autorisés. GuardDuty détecte également des instances potentiellement compromises ou des opérations de reconnaissance par des attaquants.

• Quels outils sont disponibles pour m'aider à identifier les données personnelles dans mon contenu sur AWS ?

  Amazon Macie est un service entièrement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier et protéger vos données personnelles dans AWS. Face aux volumes croissants de données que doivent gérer les organisations, l'identification et la protection de leurs données personnelles à grande échelle peuvent devenir incroyablement complexes et fastidieuses. Amazon Macie automatise l'identification des données personnelles à grande échelle et réduit les coûts liés à leur protection. Macie inventorie automatiquement les compartiments Amazon S3, répertoriant notamment les compartiments non chiffrés, ceux publiquement accessibles et ceux partagés avec des comptes AWS autres que ceux que vous avez définis dans AWS Organizations. Macie applique ensuite les techniques de machine learning et de correspondance de modèles aux compartiments de votre choix pour identifier les données personnelles et vous envoyer les alertes correspondantes.
  

  Amazon Macie a reçu des certifications de normes reconnues à l'international, comme l'ISO 27017 pour la sécurité cloud et l'ISO 27018 pour la confidentialité du cloud. Les clients et les partenaires APN peuvent également utiliser Macie pour surveiller en continu l'accès à leurs données afin de détecter les activités suspectes en se basant sur les modèles d'accès.
  

• Comment est-ce que je peux contrôler l'accès aux données personnelles au sein de mon contenu sur AWS ?

  Pour aider les clients avec la conformité au RGPD, AWS dispose d'un certain nombre d'outils afin de contrôler l'accès aux données personnelles se trouvant dans leur contenu sur AWS. Ces outils comprennent notamment :

  • Sécurité par défaut signifie que les services AWS sont conçus pour être sécurisés par défaut. Si la configuration par défaut est utilisée, l'accès aux ressources est réservé au propriétaire du compte et à l'administrateur racine.
  • AWS Identity and Access Management (IAM) permet aux clients de contrôler de façon sécurisée l'accès aux services et aux ressources AWS. Avec IAM, les organisations peuvent créer et gérer des utilisateurs et des groupes AWS, ainsi qu'utiliser des autorisations pour rejeter ou non l'accès aux ressources AWS. IAM est une fonction proposée gratuitement dans les comptes AWS.
  • AWS Multi-Factor Authentication ajoute une couche de protection supplémentaire au-dessus du nom d'utilisateur et du mot de passe du compte AWS. AWS propose aux clients la possibilité d'avoir des dispositifs MFA virtuels ou matériels.
  • AWS Directory Service permet aux clients d'intégrer et de fédérer des répertoires d'entreprise pour réduire les coûts administratifs et améliorer l'expérience des utilisateurs finaux.
  • AWS Config permet aux clients d'activer des règles préintégrées pour vérifier que leurs ressources AWS sont configurées correctement et sont conformes.
  • AWS CloudTrail permet aux organisations de journaliser, de surveiller en permanence et de conserver les informations concernant l'activité du compte en ce qui concerne les actions sur l'ensemble de leur infrastructure AWS, ce qui simplifie les analyses de sécurité, le suivi des changements de ressource et la résolution de problème (AWS CloudTrail est activé par défaut sur tous les comptes AWS).
  • Amazon Macie utilise le machine learning pour aider les clients à éviter les pertes de données en détectant, classant et protégeant automatiquement les données sensibles dans AWS. Ce service entièrement géré surveille en continu l'activité des accès aux données pour les anomalies et génère des alertes détaillées lorsqu'il détecte un risque d'accès non autorisé ou des fuites de données accidentelles (comme des données sensibles qu'un client a rendues accessibles depuis l'extérieur de façon involontaire).
     

• Comment chiffrer les données client dans AWS pour éviter les accès non autorisés ?

  AWS offre aux clients et aux partenaires APN la possibilité d'ajouter une couche de protection supplémentaire à leurs données client au repos dans le cloud et les aide à respecter la sécurité de leurs obligations de traitement en tant que responsables du traitement dans le cadre du RGPD. Les outils de chiffrement disponible sur AWS comprennent :

  • les capacités de chiffrement des données disponibles dans les services de stockage et de base de données d'AWS, comme Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS et Redshift
  • les possibilités flexibles de gestion des clés, notamment AWS Key Management Service, qui permettent de choisir entre confier la gestion des clés de chiffrement à AWS et garder le contrôle complet de ses propres clés ;
  • les files d'attente de messages chiffrés pour la transmission de données sensibles en utilisant le chiffrement côté serveur pour Amazon SQS.
  • les options de stockage matériel et dédié de clés cryptographiques à l'aide d'AWS CloudHSM, qui permettent de répondre à des exigences de conformité particulières.

   

  De plus, AWS propose des API aux clients et aux partenaires APN permettant d'intégrer le chiffrement et la protection des données à n'importe quel service développé ou déployé dans un environnement AWS.

• Quels sont les services qu'AWS propose à ses clients pour les aider à se mettre en conformité avec le RGPD ?

  AWS fournit des fonctions et services spécifiques qui aident les clients à respecter les exigences du RGPD :

  Contrôle d'accès : restreignez l'accès aux ressources AWS aux administrateurs, utilisateurs et applications autorisés

  • Authentification multi-facteurs (Multi-Factor-Authentication, MFA)
  • Accès granulaire fin aux objets dans des compartiments Amazon S3 / Amazon SQS/ Amazon SNS et d'autres services
  • Authentification par requête d'API
  • Restrictions géographiques
  • Jetons d'accès temporaires via AWS Security Token Service

  Surveillance et fichiers journaux : obtenez une présentation des activités concernant vos ressources AWS

  • Gestion et configuration des ressources avec AWS Config
  • Audits de conformité et analyses de sécurité avec AWS CloudTrail
  • Identification des difficultés de configuration avec AWS Trusted Advisor
  • Fichiers journaux granulaires fins des accès aux objets Amazon S3
  • Informations détaillées sur les flux du réseau via Amazon VPC Flow Logs
  • Vérifications et actions de configuration reposant sur des règles avec AWS Config Rules
  • Filtrage et surveillance de l'accès HTTP aux applications avec les fonctions AWS WAF dans AWS CloudFront

  Chiffrement : chiffrez des données sur AWS

  • Chiffrement de vos données au repos avec AES256 (EBS/S3/Glacier/RDS)
  • Gestion centralisée des clés via Key Management Service (par région AWS)
  • Tunnels IPsec vers AWS avec les passerelles VPN
  • Modules HSM dédiés dans le cloud avec AWS CloudHSM

  Normes de sécurité et cadre de conformité solides : nous faisons preuve de notre conformité grâce à des normes internationales rigoureuses, telles que :

  • ISO 27001 pour les mesures techniques
  • ISO 27017 pour la sécurité dans le cloud
  • ISO 27018 pour la confidentialité dans le cloud
  • SOC 1, SOC 2 et SOC 3, PCI DSS de niveau 1,
  • Common Cloud Computing Controls Catalogue (C5) du BSI
    
  • ENS High