CSA STAR Certification - un label de sécurité pour le cloud

La MediaTIC News est une newsletter bimensuelle composée des meilleurs articles des blogs Orange Business : si vous souhaitez recevoir par email, le meilleur de nos articles, infographies etc.. Abonnez-vous à la newsletter ici, c’est gratuit !

Pour une entreprise passant des services dans le Cloud, la sécurité est un critère qui compte dans sa prise de décision. Afin de faciliter la vie des décideurs et d'éviter qu'ils ne s'arrachent les cheveux ou décident "à la va vite", la Cloud Security Alliance vient d'annoncer en grandes pompes la CSA STAR Certification lors de son congrès EMEA 2013 qui se déroule ces 25 et 26 septembre à Edimbourg. 

Car oui, un "label sécurité" ou une "étiquette sécurité" sont nécessaires car rares sont les sociétés ayant les compétences et ressources pour analyser en détail les déclarations des fournisseurs de service Cloud. Ces derniers ayant eux aussi tout intérêt à rassurer leurs clients quant à leur capacité à construire et opérer des services de confiance.

la CSA STAR Certification

La CSA STAR Certification s'appuie sur deux fondamentaux : d'un côté la norme ISO27001 et de l'autre la CCM (Cloud Control Matrix). Nous sommes donc dans le cadre d'une certification visant à évaluer qu'un SMSI (Système de Management de la Sécurité de l'Information) est effectivement en place et que les contrôles de sécurité adaptés au Cloud sont présents.

Pour dire les choses autrement, la CSA STAR Certification est donc une certification ISO27001 qui utilise la Cloud Control Matrix comme référentiel de contrôles (en lieu et place de la bien connue ISO27002 comme c'est habituellement le cas).

elle ne se substitue pas à une ISO27001

Bien que le schéma de certification de la CSA STAR Certification s'appuie sur des auditeurs devant répondre aux mêmes exigences personnelles que pour une certification ISO27001 et qui doivent suivre les mêmes méthodes d'évaluation, il conviendra de conserver à l'esprit qu'être certifié CSA STAR ne vous donne pas automatiquement aussi le certificat ISO27001.

En plus, et c'est peut-être le point le plus important à retenir, on ne peut être certifié CSA STAR que si on est déjà certifié ISO27001 sur le même périmètre (ou sur un périmètre plus important). La certification ISO27001 que le marché connait bien reste donc un incontournable...

se faire certifier ISO27001 et CSA STAR d'un coup

Bien qu'il soit possible de se faire certifier CSA STAR uniquement (si vous avez déjà une certification ISO27001), les fournisseurs de service Cloud auront tout intérêt à faire d'une pierre deux coups.

En effet, la CSA STAR étant vue comme un sur-ensemble d'une certification ISO27001, il est possible (pour un surcoût estimé de quand même 50%) d'obtenir les deux sésames lors d'un audit "groupé". Evidemment, dans un tel scénario le périmètre de certification sera identique.

la certification ISO27001 reste un classique

Comme la certification CSA STAR est un sur-ensemble de l'ISO27001, les entreprises pourront procéder en 2 temps et commencer par une certification ISO27001 pour ensuite enrichir leur approche avec des contrôles spécifiques Cloud issus de la CCM (Cloud Control Matrix)... Pour décrocher la certification CSA STAR.

ce que je trouve bien dans la CSA STAR Certification

Le bon côté de la CSA STAR Certification c'est qu'elle permet de prendre en compte des "contrôles spécifiquement adaptés" au services en mode Cloud. Le fait qu'elle capitalise sur l'approche ISO27001 qui est bien connue et aussi un autre très bon point.

En outre, elle introduit une évaluation du niveau de maturité ("capability models") qui permet d'avoir une vision si le SMSI mis en place est "jeune" (comprendre qu'il peut être nettement amélioré) ou quau contraire qu'il est très mature et donc optimisé. Le marché nous dira de lui-même si cet "ajout" du niveau de maturité est pertinent ou pas : de prime abord je trouve que oui.

... et ce qui est moins bien 

Ce qui est peut-être moins bien avec la CSA STAR Certification, c'est qu'elle nécessite d'être certifié ISO27001 par ailleurs.

Peut-être que cela est un "artifice" permettant de ménager la chèvre et le chou, le temps que les ISO27017 et ISO27018 sortent enfin et que l'on puisse se faire certifier selon ces référentiels spécifiquement adaptés au Cloud.

Ce qu'il ne faudrait pas à mon sens c'est qu'il y ait un phénomène d'attentisme et que les acteurs du Cloud restent dans l'expectative des ISO27017/27018... Car une démarche de certification est coûteuse.

bonne pour le service !

En tout cas, la CSA STAR Certification reste pertinente. Elle est une approche pleine de sens qui devrait permettre aux fournisseurs de services Cloud de dépasser les discours marketing de base du genre "it's secure, just buy it". :-)

Jean-François Audenard (aka Jeff)

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens