Qu'est-ce qu'une certification IL5 ?

IL5 est une certification du ministère de la Défense des États-Unis (DoD) qui autorise un fournisseur de services cloud (CSP) à stocker et traiter certaines des données les plus sensibles du ministère de la Défense des États-Unis. La certification IL5 indique qu'un CSP dispose du niveau de contrôles, de protocoles et de technologies nécessaires pour gérer en toute sécurité les informations contrôlées non classifiées (CUI) qui sont considérées comme critiques. Les contrôles de sécurité requis pour la certification IL5 font partie des contrôles les plus stricts du secteur des services cloud .

Le ministère américain de la Défense s'appuie sur l'infrastructure et les services cloud pour partager des informations, exécuter des applications de défense et fournir une assistance au combat sur un large éventail d'opérations militaires. En raison de la présence constante de menaces sur les environnements cloud, le ministère de la Défense exige que tout CSP travaillant avec les données du ministère de la Défense se conforme à une série d'exigences en matière de sécurité et qu'il dispose de certains contrôles et protections.

Le ministère de la Défense utilise un système de « niveau d'impact » pour classer les données en fonction de leur degré de sensibilité et de leur impact en cas de perte, d'exposition, de vol ou de compromission des données.

Outre la classification des données, les niveaux d'impact permettent au département de la Défense d'évaluer la position de sécurité d'une offre de services cloud spécifique (CSO) d'un CSP. Une certification de niveau d'impact permet de comprendre quels CSP et CSO peuvent être utilisés pour différents besoins en matière de sécurité des données.

Le niveau d'impact 5, ou IL5, est une classification donnée aux informations non classifiées mais hautement sensibles et importantes. (IL-6 est la classification la plus élevée et est réservé aux systèmes d'information et aux données classées comme SECRÈTES.) Une certification IL5 permet aux fournisseurs de stocker et de traiter les informations contrôlées non classifiées (CUI), les informations stratégiques et les informations du système national de sécurité. Cela inclut les données susceptibles d'entraîner une perte de vie, de graves dommages à la capacité du ministère de la Défense à mener des opérations ou de causer des dommages catastrophiques à la sécurité nationale.

Il existe actuellement quatre niveaux d'impact pour le ministère de la Défense représentant différents niveaux de sensibilité des données.

• Le niveau d'impact 2 (IL2) concerne les informations du département de la Défense qui ont été approuvées pour diffusion publique
• Le niveau d'impact 4 (IL4) concerne les informations non classifiées contrôlées par le département de la Défense (CUI)
• Le niveau d'impact 5 (IL5) est destiné aux CUI et aux systèmes de sécurité nationaux (NSS) du Département de la Défense des États-Unis
• Le niveau d'impact 6 (IL6) concerne les informations classées SECRÈTES par le ministère de la Défense

La DISA (Defense information Systems Agency) fait partie du ministère de la Défense et est responsable du développement et de la maintenance du DoD Cloud Computing Security Requirements Guide (CC SRG). Ce document définit les exigences de base en matière de sécurité pour l'évaluation de la position de sécurité d'un CSO et prend en charge le processus de prise de décision pour l'octroi d'une autorisation provisoire (PA) afin de permettre à un CSP d'héberger les missions du ministère de la Défense.

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental chargé de développer et de gérer une approche standardisée pour évaluer, autoriser et surveiller en permanence les produits et services des CSP. FedRAMP supervise un processus d'évaluation et d'autorisation (y compris l'autorisation provisoire faible, modérée et élevée) qui certifie que les CSP travaillent avec diverses agences fédérales et stockent et traitent différents niveaux d'informations sensibles. Tout CSP souhaitant travailler avec le gouvernement fédéral et ses agences doit obtenir une certification FedRAMP. Cependant, les entreprises qui souhaitent obtenir une certification IL5 doivent prendre des mesures supplémentaires et intégrer des contrôles de sécurité encore plus stricts.

Les CSP doivent obtenir une certification IL5 pour travailler avec des données de type :

• CUI nécessitant un niveau de sécurité plus élevé que celui fourni par le DoD IL4. Cela inclut des informations dans un large éventail de catégories, y compris des informations sur l'infrastructure critique, la défense, le contrôle des exportations, les renseignements, l'application de la loi, la finance, le nucléaire, la confidentialité, etc.
• Informations faisant partie des systèmes de sécurité nationale (NSS). Cela inclut des informations qui font partie des activités de renseignement, des activités cryptologiques liées à la sécurité nationale, des informations utilisées dans le commandement et le contrôle des forces militaires, des informations pour l'équipement qui joue un rôle intégral dans les systèmes d'armes, et des données qui permettent d'exercer des fonctions critiques pour l'accomplissement direct des missions militaires ou de renseignement.

L'obtention d'une certification IL5 nécessite une évaluation rigoureuse de la sécurité et l'adoption de certains des contrôles d'isolement physiques, logiques et cryptographiques les plus stricts. Il s'agit notamment des contrôles requis pour obtenir une autorisation FedRAMP de niveau élevé, ainsi que d'un certain nombre d'exigences supplémentaires nécessaires pour protéger les systèmes de sécurité nationaux et fournir le plus haut niveau de sécurité pour les CUI.

Une certification IL5 nécessite une variété de contrôles dans plusieurs catégories.

• Conception de l'infrastructure et architecture de sécurité : Les CSP peuvent avoir besoin de mettre en œuvre la segmentation du réseau, des systèmes de détection des intrusions, des configurations de pare-feux robustes et des canaux de communication chiffrés.
• Gestion des identités et des accès : L'authentification multifactorielle (MFA), les contrôles d'accès basés sur les rôles et la gestion des accès privilégiés aident à empêcher les utilisateurs non autorisés d'accéder aux données et systèmes critiques.
• Chiffrement des données : Pour s'assurer que les informations exposées restent illisibles, des mécanismes de chiffrement puissants sont essentiels pour les données inactives, en transit et en cours d'utilisation.
• Surveillance continue : La surveillance continue à l'aide de systèmes de détection des intrusions et de gestion des événements et des informations de sécurité (SIEM) permet de détecter et de limiter rapidement les menaces.
• Pratiques DevOps sécurisées : Les CSP peuvent prévenir les failles de sécurité dans le processus de développement en adoptant des pratiques et des méthodologies de codage sécurisé, en effectuant des tests de sécurité réguliers et automatisés pour identifier et résoudre les vulnérabilités.
• Gestion des mises à jour et des correctifs : Il est essentiel d'appliquer régulièrement des correctifs de sécurité et de mettre à jour les systèmes. Les tests d'intrusion et les évaluations de vulnérabilité peuvent aider à identifier les faiblesses susceptibles d'être exploitées par des pirates.
• Documentation et signalement : Les CSP doivent fournir une documentation complète de leurs contrôles de sécurité et de leurs efforts en matière de conformité, y compris des enregistrements détaillés concernant les politiques, les procédures et les audits.
• Gestion des risques par des tiers : Les évaluations des risques tiers sont essentielles pour identifier les failles de sécurité et prévenir les menaces qui peuvent survenir au sein de la chaîne logistique d'une entreprise.