Partage des responsabilités dans le cloud : Microsoft joue la pédagogie
L’éditeur semble avoir décidé d’aider les moins matures des clients de services cloud à bien comprendre comme il appréhende le partage des responsabilités en matière de sécurité.
C’est un débat aussi ancien que le cloud lui-même : où s’arrête la responsabilité du client et où commence celle du prestataire de service ? Et vice-versa. Un peu comme pour l’hébergement classique.
Et si certains peuvent déjà s’être faits une petite idée du sujet, Microsoft a décidé de jouer les clarifications dans un document PDF dédié justement au partage des responsabilités. Sans surprise, tout ce qui est en local chez le client relève de sa responsabilité exclusive. Mais les subtilités émergent rapidement dès que l’on parle IaaS, PaaS et SaaS.
Ainsi, Microsoft entrevoit un partage des responsabilités pour l’infrastructure hôte et les contrôles réseau en IaaS. En PaaS, il accepte de prendre responsabilités plus étendues, totales sur la sécurité physique des installations, partielles pour celle des hôtes et les contrôle réseau. Sa responsabilité est en revanche totale sur ces deux derniers points en PaaS. Et dans ce mode-là, Microsoft engage partage, avec son client, la responsabilité des contrôles de sécurité liés aux applications et à la gestion des identités et des accès. En mode SaaS, l’éditeur assume l’entière responsabilité de la sécurité des applications, ainsi qu’une partie de celle des postes clients et des points de terminaison.
Dans tous les cas, la classification et la responsabilité sur les données relève du client. Microsoft précise ainsi que « le client est responsable de s’assurer que ses données sont identifiées, étiquetées et correctement classifiées. La distinction entre données clients sensibles et contenu marketing conçu pour être public doit être faite par le client ». Et de souligner la complexité de ce processus. Surtout, si ses solutions SaaS comme « Office 365 et Dynamics offrent des capacités pour protéger les données clients, telles que Office Lockbox et la prévention des fuites de données (DLP), il revient au client de gérer, classifier et configurer les solutions pour répondre à leurs besoins spécifiques de sécurité et de confidentialité ».
En matière de protection et de contrôle des terminaux, Microsoft précise ce qu’il entend par partage des responsabilités en mode SaaS : « les fournisseurs de services cloud peuvent faciliter l’administration des terminaux […] Mais utiliser une solution d’administration des terminaux mobiles implique la responsabilité du client pour ses utilisateurs ».