Cloud : Google réfléchit à des accréditions de sécurité pour Google Apps
Google aurait l’intention de passer les Google Apps à la moulinette d’audits portant sur l’obtention de certifications de sécurité au Royaume-Uni. Son objectif : gagner un niveau d’accréditation supérieur pour être référencé comme outil clé dans le gouvernement de sa Gracieuse Majesté.
Comment pénétrer les très critiques SI des administrations lorsqu’on est un acteur du Cloud ? Réponse : passer des certifications de sécurité. C’est ce que Google essaierait de faire au Royaume-Uni, nous rapportent nos confrères de Computerworld UK. La firme de Mountain View, dont les outils bureautiques Saas sont déjà déployés sur certains postes du très sérieux Cabinet Office, réfléchirait à obtenir les accréditations de sécurité afin d’accéder à une base installée plus importante au sein de l’Administration de sa Gracieuse Majesté.
Aujourd’hui frappé d’un sceau de premier niveau de sécurité, Google Apps et Google Docs sont utilisés par des agents du gouvernement pour des tâches ayant un très faible niveau de criticité. Dans le jargon britannique, Google est accrédité d’un niveau IL0, le plus bas niveau dans le baromètre du gouvernement (Business Impact Level), qui en compte 6 - IL6 étant alors le rang le plus élevé.
Selon le blog Wading through Treacle, le gouvernement anglais estime que le niveau IL2 constitue le niveau minimum requis pour tous les fournisseurs de services. Ce niveau s’obtient par ailleurs en passant une série d’audits minutieux, alignés sur les standards ISO 27001, 27002, 27011 - qui portent sur la sécurité de l’information.
Google aurait ainsi l’intention de se hisser à ce niveau, affirment nos confrères, histoire de gagner du terrain dans l’Administration anglaise. Mais pas uniquement. Car en gagnant une accréditation de sécurité, Google accroche à ses Google Apps une certification supplémentaire susceptible de rassurer, non plus uniquement les administrations, mais également les entreprises. Des entreprises pour qui la protection et la sécurité des données demeurent parmi les principales préoccupations.
Pour répondre aux problématiques sécuritaires des services publics, Google a déjà obtenu, notamment avec son édition Google Apps for Governement, la certification Federal Information Security Management Act (FISMA), indispensable pour pénétrer les SI des agences gouvernementales américaines. Google Apps et App Engine ont quant à eux réussi aux audits des standards SSAE 16 and ISAE 3402.
La certification, une lutte dans le Cloud
D’ailleurs, ces précieux sésames sont par ailleurs devenus les principaux chevaux de bataille des acteurs du Cloud, alors en pleine tourmente sécuritaire. Microsoft n’hésite pas à pointer du doigt les carences de Google en la matière, comme c’était le cas en avril 2011. Dans un billet de blog, David Howard, l’avocat en chef de Redmond, n’a pas hésité à gifler Google, affirmant que Mountain View n’avait pas les exigences sécuritaires qu’il prétendait avoir. Histoire d’entamer sa crédibilité.
Amazon Web Services l’a également bien compris. En novembre 2010, le spécialiste du Iaas a décroché une certification ISO 27001. Une façon de «donner confiance en la puissance et la maturité de nos processus et pratiques opérationnels en matière de sécurité de l’information», soulignait le groupe à l’époque. Notons que Office 365 est également certifiée ISO 27001, mais pas les Google Apps.
Au final, ces accréditations pourraient bien permettre à qui les aura de se frayer un chemin jusqu’au Cloud gouvernemental. Et devenir un fournisseur référencé dans ce grand portail, tant aux Etats-Unis qu’au Royaume-Uni.
En complément :
Sécurité : le Cloud prêt à décrocher son contrat de confiance
Gmail ne remplit pas les conditions de sécurité de la police de LA