Les termes sécurité et conformité sont souvent utilisés de manière interchangeable. Cependant, ce sont des concepts uniques et distincts.

La sécurité, souvent considérée comme la sécurité des informations, est généralement définie comme un ensemble de contrôles techniques, physiques et administratifs que vous mettez en œuvre pour assurer la confidentialité, l'intégrité et la disponibilité. Par exemple, vous sécurisez un hôte en définissant les comptes autorisant une connexion et par quels moyens (SSH, console directe, etc.). En revanche, la conformité est un ensemble de conditions nécessaires pour répondre aux contrôles minimaux établis par différentes structures réglementaires qui fournissent une assistance limitée sur n'importe quel type de technologie, de fournisseur ou de configuration. Par exemple, l'industrie PCI (Payment Card Industry) a établi des directives de sécurité pour aider les organisations à protéger de manière proactive les données des comptes clients.

La sécurité réduit le risque de vol de données, de cyberattaques ou d'accès non autorisé, alors que la conformité est la preuve qu'un contrôle de la sécurité est en place, généralement dans un cadre temporel défini. La sécurité est principalement définie dans les décisions de conception et exprimée dans les configurations de la technologie. La conformité se concentre sur le mappage de la corrélation entre les contrôles de sécurité et les exigences spécifiques. Un mappage de conformité fournit une vue centralisée pour répertorier de nombreux contrôles de sécurité requis. Ces contrôles sont décrits de façon plus détaillée en incluant des citations de conformité respectives de chaque contrôle de sécurité, tels que régis par un domaine, par exemple NIST, PCI, FedRAMP, HIPAA, etc.

Les programmes de cyber-sécurité et de conformité effectifs reposent sur trois piliers : les personnes, les processus et les technologies. Une idée fausse généralement répandue veut que la technologie puisse à elle seule répondre à tous vos besoins en matière de cybersécurité. La technologie joue un rôle crucial dans le développement et l'exécution d'un programme de sécurité des informations. Cependant, la technologie sans processus et procédures, et connaissances et formation, crée une vulnérabilité au sein de votre organisation.

Lors de la définition de vos stratégies de sécurité et de conformité, gardez les éléments suivants à l'esprit :

  • Les personnes ont besoin de connaissances et de formation générales, tandis que le personnel informatique a besoin d'une formation spécifique.
  • Le processus définit la façon dont les activités, les rôles et la documentation au sein d'une organisation sont utilisés pour réduire les risques. Les processus ne sont efficaces que si les personnes les appliquent correctement.
  • La technologie peut être utilisée pour prévenir ou réduire l'impact des risques de cyber-sécurité dans votre organisation. La technologie à utiliser dépend du niveau d'acceptation des risques au sein d'une organisation.

VMware fournit des kits de conformité qui contiennent à la fois un guide d'audit et un guide d'applicabilité du produit, ce qui permet de faire le lien entre les obligations réglementaires et de conformité et les guides de mise en œuvre. Pour plus d'informations, consultez https://core.vmware.com/compliance.

Glossaire des termes relatifs à la conformité

La conformité introduit des termes et des définitions spécifiques importants à comprendre.

Tableau 1. Conditions de conformité
Terme Définition

CJIS

Services d'information sur la justice pénale (Criminal Justice Information Services). Dans le contexte de la conformité, les services CJIS produisent une stratégie de sécurité établissant comment la justice pénale au niveau local, de l'état et fédéral, ainsi que les forces de l'ordre prennent des mesures de sécurité visant à protéger des informations sensibles telles que les empreintes digitales et les antécédents criminels.

STIG DISA

Defense Information Systems Agency Security Technical Implementation Guide. DISA (Defense Information Systems Agency) est l'entité responsable de la gestion de la position en matière de sécurité de l'infrastructure informatique du Ministère de la Défense (DoD). DISA accomplit cette tâche en développant et en utilisant des Guides de mise en œuvre techniques de sécurité ou « STIG ».

FedRAMP

Federal Risk and Authorization Management Program. FedRAMP est un programme à l'échelle du gouvernement qui fournit une approche normalisée de l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et des services cloud.

HIPAA

Health Insurance Portability and Accountability Act. Adoptée au congrès en 1996, la loi HIPAA produit des effets suivants :

  • Donne à des millions de travailleurs américains et à leurs familles la possibilité de transférer et de maintenir une couverture d'assurance-maladie lorsqu'ils changent d'employeur ou perdent leur emploi
  • Réduit les fraudes et abus en matière de soins de santé
  • Impose des normes globales en matière d'informations relatives aux soins de santé, notamment pour la facturation électronique et autres processus
  • Nécessite la protection et le traitement confidentiel des informations de santé protégées

Le dernier point est le plus important pour la documentation de la sécurité vSphere.

NCCoE

National Cybersecurity Center of Excellence. NCCoE est une organisation gouvernementale américaine qui produit et partage publiquement des solutions aux problèmes de sécurité que les entreprises américaines rencontrent. Le centre forme regroupe des spécialistes issus d'entreprises technologiques de cyber-sécurité, d'autres agences fédérales et d'universités afin de résoudre chaque problème.

NIST

National Institute of Standards and Technology. Fondée en 1901, NIST est une agence fédérale non réglementaire faisant parti du Département du Commerce des États-Unis. La mission des NIST est de promouvoir l'innovation et la compétitivité industrielle américaines en faisant progresser les sciences, les normes et les technologies de manière à favoriser la sécurité économique et à améliorer notre qualité de vie.

PAG

Product Applicability Guide. Document qui fournit des directives générales aux organisations pour les aider à choisir des solutions leur permettant de répondre aux exigences de conformité leur étant imposées.

PCI DSS

Payment Card Industry Data Security Standard. Ensemble de normes de sécurité visant à garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé.

Solutions de conformité VVD/VCF

VMware Validated Design/VMware Cloud Foundation. Les conceptions validées VMware fournissent des Blueprints complets et ayant fait l'objet de tests intensifs, permettant de construire et d'exploiter un centre de données défini par le logiciel. Les solutions de conformité VVD/VCF permettent aux clients de répondre aux exigences de conformité de nombreuses réglementations gouvernementales et industrielles.