Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Mesurer sa sécurité en temps-réel avec le CloudTrust Protocol

Mesurer sa sécurité en temps-réel avec le CloudTrust Protocol
2013-10-242013-11-27bonnes pratiquesfr
Comment obtenir des preuves en 2 clics que le contrat passé avec votre Cloud Service Provider (CSP) est bien respecté en terme de sécurité ?
Publié le 24 Octobre 2013 par Jean-François Audenard dans bonnes pratiques
Jean-François Audenard : mesurer sa sécurité en temps-réel avec le CloudTrust Protocol


[FR] mesurer sa sécurité en temps-réel avec le... par orange_business

Comment obtenir des preuves en 2 clics que le contrat passé avec votre Cloud Service Provider (CSP) est bien respecté en terme de sécurité ?

Vous allez me dire que c'est une question sans réponse et vous aurez raison ! Car en 2 clics, il n'est pas possible de vérifier si son fournisseur de service Cloud fait effectivement tout ce qu'il faudrait... Pour le moment du moins car  cela devrait changer.

la Cloud Security Alliance (encore) à la rescousse
 

Afin de répondre au besoin de contrôler en quasi temps-réel et de façon automatisée si un fournisseur de Cloud fait bien ce qu'il faut (ou tout du moins ce qu'il dit faire), la Cloud Security Alliance a mis en place un groupe de travail pour définir le CloudTrust Protocol (CTP).

le CloudTrust Protocol (CTP)
 

L'objectif du CloudTrust Protocol est de proposer une interface utilisable par un client afin de connaitre en temps-réel l'état des mesures de sécurité dont le fournisseur a la charge. 

En fait, c'est un peu comme un thermomètre utilisable à distance. Au lieu de mesure une température il sera possible de savoir si les hyperviseurs sont à jour en terme de correctifs de sécurité ou encore depuis combien temps la base de signature a été mise à jour. Tout cela via des API. Les entreprises pourront donc contrôler à tout moment si tout est OK et bien en ordre du côté du Cloud Service Provider.

en attendant le CloudTrust Protocol (CTP)
 

Sur le papier c'est beau et cela peut faire rêver les plus paranoïaques d'entre nous. 

Mais pour le moment, cela n'est pas encore disponible... En attendant, il faudra faire avec ce qui est disponible : des clauses contractuelles bien détaillées plus la mise en place d'un suivi des indicateurs de sécurité,  par exemple dans le cadre d'un PAS (Plan d'Assurance Sécurité).

Avez-vous avez mis un PAS en place ? Quels en sont les principaux indicateurs ?

 

Jean-François Audenard (aka Jeff)

1 Commentaire

  • 25 Octobre 2013
    2013-10-25
    par
    Magali
    Oui le CTP fait rêver sur le papier. En attendant il est toujours possible d'utiliser la deuxième brique de la Global Risk Management & Compliant stack, c'est-à-dire le questionnaire CAIQ. Avec ses réponses oui/non, cela permet d'avoir une visibilité sur les contrôles sécurité mis en oeuvre sur un service Cloud

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage