mesurer sa sécurité en temps-réel avec le CloudTrust Protocol

Partager

[FR] mesurer sa sécurité en temps-réel avec le... par orange_business

Comment obtenir des preuves en 2 clics que le contrat passé avec votre Cloud Service Provider (CSP) est bien respecté en terme de sécurité ?

Vous allez me dire que c'est une question sans réponse et vous aurez raison ! Car en 2 clics, il n'est pas possible de vérifier si son fournisseur de service Cloud fait effectivement tout ce qu'il faudrait... Pour le moment du moins car  cela devrait changer.

la Cloud Security Alliance (encore) à la rescousse
 

Afin de répondre au besoin de contrôler en quasi temps-réel et de façon automatisée si un fournisseur de Cloud fait bien ce qu'il faut (ou tout du moins ce qu'il dit faire), la Cloud Security Alliance a mis en place un groupe de travail pour définir le CloudTrust Protocol (CTP).

le CloudTrust Protocol (CTP)
 

L'objectif du CloudTrust Protocol est de proposer une interface utilisable par un client afin de connaitre en temps-réel l'état des mesures de sécurité dont le fournisseur a la charge. 

En fait, c'est un peu comme un thermomètre utilisable à distance. Au lieu de mesure une température il sera possible de savoir si les hyperviseurs sont à jour en terme de correctifs de sécurité ou encore depuis combien temps la base de signature a été mise à jour. Tout cela via des API. Les entreprises pourront donc contrôler à tout moment si tout est OK et bien en ordre du côté du Cloud Service Provider.

en attendant le CloudTrust Protocol (CTP)
 

Sur le papier c'est beau et cela peut faire rêver les plus paranoïaques d'entre nous. 

Mais pour le moment, cela n'est pas encore disponible... En attendant, il faudra faire avec ce qui est disponible : des clauses contractuelles bien détaillées plus la mise en place d'un suivi des indicateurs de sécurité,  par exemple dans le cadre d'un PAS (Plan d'Assurance Sécurité).

Avez-vous avez mis un PAS en place ? Quels en sont les principaux indicateurs ?

 

Jean-François Audenard (aka Jeff)

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)