Avec l’ISO, Amazon s’ouvre une porte vers les DSI et le Cloud d’Obama
Amazon Web Services a obtenu la certification ISO 27001 qui garantit que la sécurité des services Cloud du groupe est conforme aux réglementations en matière de sécurité de l’information. Une certification qui devrait non seulement rassurer les DSI, en proie au doute quant à la sécurité du nuage, mais également asseoir Amazon au rang des fournisseurs potentiels d’infrastructure de Cloud du gouvernement américain.
Amazon veut rassurer sur la conformité et la sécurité des données dans son Cloud. Le groupe, spécialiste des infrastructures de Cloud Computing au travers de ses offres EC2 et S3, a obtenu la certification ISO 27001 mi-novembre. Une norme internationale censée définir les contraintes pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). “Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini”, indique Wikipédia. Ce standard ne s’applique donc pas uniquement au Cloud ou à l’IT.
Sur son blog, AWS explique que cette certification vient en fait compléter les différentes mesures prises par le groupe en matière de sécurité des données. Comme les tests - réussis - de l’audit SAS 70 Type II, qui valident l’efficacité des outils de contrôle et de sécurité des services mis en place par un prestataire. “Ensemble, SAS 70 et ISO 27001 devraient vous [les clients, NDLR] donner confiance en la puissance et la maturité de nos processus et pratiques opérationnels en matière de sécurité de l’information”, explique Amazon sur ce même blog.
AWS n’est toutefois pas le premier acteur du monde Cloud à avoir obtenu cette certification. Salesforce.com, spécialiste du CRM hébergé, a déjà reçu le sceau divin et Microsoft y postule pour Business Productivity Online Suite.
Rassurer des DSI qui doutent
Pour Amazon, il est clair que l'obtention de la certification fournit une première réponse aux DSI qui considèrent la sécurité et l'intégrité des données comme un frein à l’adoption du Cloud Computing. Une récente étude américaine, réalisée auprès de 250 responsables IT par le cabinet Chadwick Martin Bailey (CMB), rappelait que si la confusion autour de terme “Cloud Computing” tend à s’estomper, guidant les entreprises vers de vastes projets de migration (pour 28% des répondants), la sécurité du nuage reste encore l'un des soucis premiers, à 32%, contre 17% pour les coûts et le prix, et 7% pour la fiabilité.
Entrer dans la course au Cloud d’Obama
Mais ce n’est pas tout. Cette certification des services d’Amazon intervient alors qu’aux Etats-Unis, le gouvernement a décidé de faire du nuage une priorité dans ses politiques IT. Une politique de “cloud-first” - comprendre le Cloud est la technologie IT choisie par défaut - qui vise notamment à réduire le fossé technologique entre les secteurs public et privé américains, comme l’indiquent nos confrères du Cloud Computing Journal. Parmi les autres piliers de la politique IT d’Obama, une réduction des coûts qui passera alors par le recours au nuage.
En obtenant cette certification, Amazon se positionne donc comme un fournisseur d’infrastructure de cloud, pouvant davantage répondre aux exigences du gouvernement en la matière. D’autant que, hasard du calendrier, le bureau du CIO du gouvernement, Vivek Kundra, a récemment publié une mouture du “Proposed Security Assessment & Authorization for U.S. Government Cloud Computing”, un document de 90 pages (PDF) qui décrit les mécanismes et les modèles de sécurité auxquels doivent répondre les technologies de Cloud employées par le gouvernement américain, dans son vaste programme de déploiement de son nuage.
Le document, aujourd’hui sous forme de proposition, est ouvert aux commentaires jusqu’au 2 décembre. Il indique notamment que le gouvernement peut se reposer sur une infrastructure de cloud public opérée donc par un fournisseur de type Google, Microsoft ou encore Amazon, à condition que celle-ci réponde aux contraintes. Le document définit notamment les bases à respecter (contrôle d’accès, gestion de la configuration, identification et authentification), et les conditions de monitoring (la gestion des audits et des mises à jour ainsi que leur fréquences).