Sécurité : le Cloud prêt à décrocher son contrat de confiance
La Cloud Security Alliance (CSA) et l’ISO ont décidé d’unir leur force sur le terrain de la sécurité dans le Cloud. En créant un comité de liaison commun entre les deux organismes, le CSA compte bien contribuer activement aux développements de bonnes pratiques et d’outils de mesure de la sécurité du Cloud. Pour au final, leur apposer le très précieux sceau de l’ISO. Effet rassurant garanti auprès des PME.
Comme un soulagement, le cloud pourrait bien être sur le point de gagner son contrat son confiance. C’est le sentiment que donne l’annonce d’un rapprochement entre la Cloud Security Alliance, une association d’industriels militant pour la sécurité du Cloud à travers des bonnes pratiques - inaugurée officiellement en 2009 lors de la RSA Conference -, et du très sérieux organisme de standardisation international ISO. A la clé : la définition de standards et de bonnes pratiques autour de la sécurité du nuage ainsi que sur les données personnelles, mais également (surtout) d’indicateurs de contrôle qui faciliteront la mesure du niveau de sécurité.
Dans le cadre de cette alliance, officialisée le 20 avril dernier, la CSA a établi un comité de liaison de catégorie C avec le comité technique (Joint Technical Committee) de l’ISO (référencé 1/SC 27) qui s’occupe de la question ‘Techniques de sécurité des technologies de l'information”. CSA jouera un rôle clé dans ce comité technique en s’impliquant dans le développement via des contributions et en siégeant au sein des groupes de travail. Surtout en se rapprochant de l’ISO, CSA montre aux entreprises que ses bonnes pratiques sont construites pour durer et qu’elles peuvent dès lors se les approprier.
Présentées comme le point bloquant n°1 en matière d’adoption du cloud, la sécurité et la préservation des données dans le cloud ont connu ces dernières semaines de belles déconvenues. Accentuant quelque peu les risques autour du nuage. Amazon, par exemple, dont la très importante panne d’infrastructure, a immobilisé de nombreux sites aux Etats-Unis. Mais également le cas de Sony et du double de piratage de ses services en ligne de jeux grand public (PlayStation Network et Sony Online Entertainment), qui a débouché sur le vol des numéros de carte de crédit de plusieurs millions d’utilisateurs.
Rassurer les PME
Le cloud avance dans les PME européennes |
Les PME européennes ont dans leur majorité basculé une partie de leur infrastructure ou de leurs applications dans le Cloud, révèle une étude publiée par VMware, qui a analysé le comportement de 1 616 PME européennes. Et ce taux serait de 66% pour la France, dont le vaste tissu de PME semblent avoir adopté l’idée du nuage. Sur celles ayant migré vers le Cloud, 79% avait eu recours auparavant à la virtualisation. |
Cliquez pour dérouler |
Dans ce contexte où sécurité et données privées sont mises à mal, voir l’ISO s’intéresser à la question a un effet “adoucissant” pour les entreprises. C’est notamment l’avis d’Eric Fradet, directeur de l’Industrialisation chez Steria, pour qui ce rapprochement devrait contribuer à rassurer . “La mission du CSA s’arrêtait au niveau des best practices. Si cela suffit pour nous - nous sommes en permanence à la recherche de certification et de bonnes pratiques pour ramener les clients -, les clients quant à eux veulent davantage d’éléments tangibles. L’ISO devrait alors les rassurer un peu plus”. Dans un premier temps, cette alliance pourrait donc jouer en faveur des PME, poursuit-il . Car “si les grands comptes disposent des ressources nécessaires pour appréhender la sécurité du Cloud, les PME, qui représentent l’utilisateur naturel du Cloud, ont encore besoin de solution clé en main qui répondent à leur besoin immédiat”, commente-t-il. D’où la nécessité pour ce segment de pouvoir s’appuyer sur des certifications ou des normes internationales, qui viennent garantir un niveau de sécurité minimal des solutions, et sur lesquelles elles peuvent s’appuyer rapidement ... en toute confiance. Le fameux sceau ISO est donc une clé pour la porte des nuages. D’ailleurs, Eric Fradet compte bien faire valoir cette alliance auprès des clients de la SSII.
Cette idée d’étiquette sécurité avait également été évoquée par Eurocloud, dans ses 17 recommandations adressées au gouvernement en mars dernier. Sans indiquer de standardisation, l’association en charge de la promotion de l’informatique en nuage en France (ex-ASP Forum) avait recommandé la création d’un label de sécurité pour le Cloud (et surtout le Saas) qui viendrait classer les offreurs et les solutions. Il y avait également glissé un concept de liste noire qui listerait les offreurs de services, ayant déjà subi une condamnation - mais dont la portée se limiterait aux seuls frontières de la maison de cette offreur.