Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

CSA STAR Certification - un label de sécurité pour le cloud

CSA STAR Certification - un label de sécurité pour le cloud
2013-09-262013-09-26cloud computingfr
La Cloud Security Alliance vient d'annoncer en grandes pompes la CSA STAR Certification lors de son congrès EMEA 2013 qui se déroule ces 25 et 26 septembre à Edimbourg.
Publié le 26 Septembre 2013 par Jean-François Audenard dans cloud computing
CSA STAR Certification - un label de sécurité pour le cloud

La MediaTIC News est une newsletter bimensuelle composée des meilleurs articles des blogs Orange Business Services : si vous souhaitez recevoir par email, le meilleur de nos articles, infographies etc.. Abonnez-vous à la newsletter ici, c’est gratuit !

Pour une entreprise passant des services dans le Cloud, la sécurité est un critère qui compte dans sa prise de décision. Afin de faciliter la vie des décideurs et d'éviter qu'ils ne s'arrachent les cheveux ou décident "à la va vite", la Cloud Security Alliance vient d'annoncer en grandes pompes la CSA STAR Certification lors de son congrès EMEA 2013 qui se déroule ces 25 et 26 septembre à Edimbourg. 

Car oui, un "label sécurité" ou une "étiquette sécurité" sont nécessaires car rares sont les sociétés ayant les compétences et ressources pour analyser en détail les déclarations des fournisseurs de service Cloud. Ces derniers ayant eux aussi tout intérêt à rassurer leurs clients quant à leur capacité à construire et opérer des services de confiance.

la CSA STAR Certification

La CSA STAR Certification s'appuie sur deux fondamentaux : d'un côté la norme ISO27001 et de l'autre la CCM (Cloud Control Matrix). Nous sommes donc dans le cadre d'une certification visant à évaluer qu'un SMSI (Système de Management de la Sécurité de l'Information) est effectivement en place et que les contrôles de sécurité adaptés au Cloud sont présents.

Pour dire les choses autrement, la CSA STAR Certification est donc une certification ISO27001 qui utilise la Cloud Control Matrix comme référentiel de contrôles (en lieu et place de la bien connue ISO27002 comme c'est habituellement le cas).

elle ne se substitue pas à une ISO27001

Bien que le schéma de certification de la CSA STAR Certification s'appuie sur des auditeurs devant répondre aux mêmes exigences personnelles que pour une certification ISO27001 et qui doivent suivre les mêmes méthodes d'évaluation, il conviendra de conserver à l'esprit qu'être certifié CSA STAR ne vous donne pas automatiquement aussi le certificat ISO27001.

En plus, et c'est peut-être le point le plus important à retenir, on ne peut être certifié CSA STAR que si on est déjà certifié ISO27001 sur le même périmètre (ou sur un périmètre plus important). La certification ISO27001 que le marché connait bien reste donc un incontournable...

se faire certifier ISO27001 et CSA STAR d'un coup

Bien qu'il soit possible de se faire certifier CSA STAR uniquement (si vous avez déjà une certification ISO27001), les fournisseurs de service Cloud auront tout intérêt à faire d'une pierre deux coups.

En effet, la CSA STAR étant vue comme un sur-ensemble d'une certification ISO27001, il est possible (pour un surcoût estimé de quand même 50%) d'obtenir les deux sésames lors d'un audit "groupé". Evidemment, dans un tel scénario le périmètre de certification sera identique.

la certification ISO27001 reste un classique

Comme la certification CSA STAR est un sur-ensemble de l'ISO27001, les entreprises pourront procéder en 2 temps et commencer par une certification ISO27001 pour ensuite enrichir leur approche avec des contrôles spécifiques Cloud issus de la CCM (Cloud Control Matrix)... Pour décrocher la certification CSA STAR.

ce que je trouve bien dans la CSA STAR Certification

Le bon côté de la CSA STAR Certification c'est qu'elle permet de prendre en compte des "contrôles spécifiquement adaptés" au services en mode Cloud. Le fait qu'elle capitalise sur l'approche ISO27001 qui est bien connue et aussi un autre très bon point.

En outre, elle introduit une évaluation du niveau de maturité ("capability models") qui permet d'avoir une vision si le SMSI mis en place est "jeune" (comprendre qu'il peut être nettement amélioré) ou quau contraire qu'il est très mature et donc optimisé. Le marché nous dira de lui-même si cet "ajout" du niveau de maturité est pertinent ou pas : de prime abord je trouve que oui.

... et ce qui est moins bien 

Ce qui est peut-être moins bien avec la CSA STAR Certification, c'est qu'elle nécessite d'être certifié ISO27001 par ailleurs.

Peut-être que cela est un "artifice" permettant de ménager la chèvre et le chou, le temps que les ISO27017 et ISO27018 sortent enfin et que l'on puisse se faire certifier selon ces référentiels spécifiquement adaptés au Cloud.

Ce qu'il ne faudrait pas à mon sens c'est qu'il y ait un phénomène d'attentisme et que les acteurs du Cloud restent dans l'expectative des ISO27017/27018... Car une démarche de certification est coûteuse.

bonne pour le service !

En tout cas, la CSA STAR Certification reste pertinente. Elle est une approche pleine de sens qui devrait permettre aux fournisseurs de services Cloud de dépasser les discours marketing de base du genre "it's secure, just buy it". :-)

Jean-François Audenard (aka Jeff)

2 Commentaires

  • 3 Octobre 2013
    2013-10-03
    par
    Écrit par
    Pour répondre aux demandes de ses clients, Orange Business Services a une politique de certification forte qui s’appuie sur 2 principaux piliers :
    - La certification de nos contrôles à la fois financiers, organisationnels et opérationnels au travers de la norme ISAE 3402 type II (version internationale de la SSAE 16 aux US). Ainsi, tous les datacenters sur lesquels nous opérons nos services cloud à travers le monde sont certifiés avec des auditeurs externes.
    - La certification de la gestion de la sécurité au travers de la norme ISO 27001, référence dans le domaine de la sécurité informatique. Ainsi, les domaines jugés critiques par Orange Business Services pour nos clients sont certifiées ISO27001 par des auditeurs externes.
    Donc ce n’est pas pas : « it’s secure, just buy it » mais plutôt « it’s secure, and we can prove it » Olivier Perrault
    Responsable de la sécurité et certification des offres cloud d’Orange Business Services
  • 30 Septembre 2013
    2013-10-03
    par
    Fabrice F.
    Et donc, quid de ces certifications chez Orange Business Services ? Est-ce que vous dépassez le discours marketing "it's secure, just buy it" ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage