mesurer sa sécurité en temps-réel avec le CloudTrust Protocol

[FR] mesurer sa sécurité en temps-réel avec le... par orange_business

Comment obtenir des preuves en 2 clics que le contrat passé avec votre Cloud Service Provider (CSP) est bien respecté en terme de sécurité ?

Vous allez me dire que c'est une question sans réponse et vous aurez raison ! Car en 2 clics, il n'est pas possible de vérifier si son fournisseur de service Cloud fait effectivement tout ce qu'il faudrait... Pour le moment du moins car  cela devrait changer.

la Cloud Security Alliance (encore) à la rescousse
 

Afin de répondre au besoin de contrôler en quasi temps-réel et de façon automatisée si un fournisseur de Cloud fait bien ce qu'il faut (ou tout du moins ce qu'il dit faire), la Cloud Security Alliance a mis en place un groupe de travail pour définir le CloudTrust Protocol (CTP).

le CloudTrust Protocol (CTP)
 

L'objectif du CloudTrust Protocol est de proposer une interface utilisable par un client afin de connaitre en temps-réel l'état des mesures de sécurité dont le fournisseur a la charge. 

En fait, c'est un peu comme un thermomètre utilisable à distance. Au lieu de mesure une température il sera possible de savoir si les hyperviseurs sont à jour en terme de correctifs de sécurité ou encore depuis combien temps la base de signature a été mise à jour. Tout cela via des API. Les entreprises pourront donc contrôler à tout moment si tout est OK et bien en ordre du côté du Cloud Service Provider.

en attendant le CloudTrust Protocol (CTP)
 

Sur le papier c'est beau et cela peut faire rêver les plus paranoïaques d'entre nous. 

Mais pour le moment, cela n'est pas encore disponible... En attendant, il faudra faire avec ce qui est disponible : des clauses contractuelles bien détaillées plus la mise en place d'un suivi des indicateurs de sécurité,  par exemple dans le cadre d'un PAS (Plan d'Assurance Sécurité).

Avez-vous avez mis un PAS en place ? Quels en sont les principaux indicateurs ?

Jean-François Audenard (aka Jeff)