Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

5 documents de référence sur la sécurité du cloud computing

5 documents de référence sur la sécurité du cloud computing
2011-12-152013-04-11cloud computingfr
Voici une sélection de 5 documents que je considère comme des "références" dans le domaine de la sécurité du cloud computing. Il y en a en français et en anglais : de quoi rentrer dans le sujet ou approfondir. Passage en...
Publié le 15 Décembre 2011 par Jean-François Audenard dans cloud computing

 

Voici 5 documents que je considère comme des "références" dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l'externalisation des systèmes d'information).

Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l'anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance.

#1 - ANSSI - Maitriser les risques de l'infogérance - (En français - 56 pages)

anssi logo

Le premier c'est le "Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maitriser les risques" de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui nous propose un document très didactique.

L'approche prise est clairement d'accompagner le lecteur/lectrice vers une démarche de prise en compte de la sécurité dans un projet d'externalisation d'un système d'information. À noter une section relative à la définition d'un PAS (Plan d'Assurance Sécurité) et comment contractualiser des engagements de sécurité.

#2 - Syntec Numérique - Livre Blanc sécurité du Cloud Computing - (En français - 24 pages)

syntecnumerique logo

Le second c'est celui du Syntec Numérique "Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques".

Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du Cloud, l'approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données.

Le document est d'une lecture aisée car il évite un formalisme trop guindé, c'est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet.

#3 - Cloud Security Alliance - Security Guidance for Critical Areas of Cloud Computing v3.0 - (En anglais - 177 pages)

CSA logo

Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide "Security Guidance for Critical Areas of Cloud Computing Version 3.0" est une "référence-de-référence" pour tout professionel du domaine.

Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche ? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous.

Ce n'est que la partie hébergée de l'iceberg : la Cloud Security Alliance propose bien d'autres documents. Mon conseil  : allez fouiller sur leur site, vous ne serez pas déçu(e) !

#4 - ENISA, Cloud Computing Risk Assessment - (En anglais - 125 pages)

ENISSA logoLe 4ième document est celui de l'ENISA, agence Européenne spécialisée dans la sécurité des systèmes d'information. Dans leur document "Cloud Computing, Benefits, risks and recommendations for information security", l'ENISA nous propose une vision axée sur les risques liés aux cloud computing. C'est le document le plus complet de tous sur l'approche "risques". Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées.

Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants.

#5 - PCI DSS - Virtualization Guidelines v2.0 (En anglais - 39 pages)

PCI logoLe Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c'est que les règles (ou "objectifs de sécurité") sont précis et connus d'avance. Le niveau d'exigence est clairement fort.

Le guide "PCI-DSS - Information Supplement: PCI DSS Virtualization Guidelines" explicite de façon claire et précise ce qu'il convient de mettre en place au niveau d'une couche de virtualisation. Pour savoir que faire pour sécuriser notre hyperviseur c'est le document qu'il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels.

 

mes deux préférés

Sur ces 5 documents de référence, les deux préférés sont celui de la Cloud Security Alliance et celui de l'ANSSI. Le guide de la Cloud Security Alliance concentre "l'état de l'art" dans le domaine de la sécurité du cloud computing ; celui de l'ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d'un service de cloud computing.

et ce n'est pas fini : quels sont vos documents de prédilection ?

J'ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d'autres comme les documents du NIST, ceux de la NSA et j'en passe....

Quels sont les documents que vous considérez comme "de référence" ? C'est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne.

 

© Giuseppe Porzani - Fotolia.com

6 Commentaires

  • 30 Juin 2014
    2014-06-30
    par
    S.
  • 4 Juin 2013
    2014-06-30
    par

    Bonjour.
    Les deux documents du CIGREF semblent effectivement très intéressants. Merci !

    EN complément des documents du Syntec Numérique les entreprises françaises vont devenir les championnes de la sécurité du Cloud. :-)

    Encore merci et bonne continuation,
    Jeff.

  • 27 Mai 2013
    2014-06-30
    par
    Lionel GUILLET
    Je vous proposerai 2 études du CIGREF
    - Cloud et protection des données : guide pratique à l’attention des directions opérationnelles et générales (en collaboration avec l'IFACI & l'AFAI)
    - Le Cloud Computing dans le SI de l’entreprise à l'adresse suivante
    http://www.cigref.fr/c/toutes-les-publications/publications-par-themes/b... Bien cordialement.
  • 30 Décembre 2011
    2014-06-30
    par
    Jpgn
    J'ai également trouvé :
    le Livre_Blanc_Cloud_Computing_Securite.Vdef.pdf
    & SYNTEC-livre_blanc-cloud_computing_HD.pdf

    2 livres blancs du Syntec  Numérique le 1er me plait tout particulièrement.
  • 15 Décembre 2011
    2014-06-30
    par
    Xavier
    Et même le 4.1 pour ceux qui veulent ;)
    http://www.vmware.com/resources/techresources/10198

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage