Sécurité du "Cloud Computing" : L'agence Européenne ENISA publie son rapport

Partager

enisa_logo.gifLa sécurité des services informatiques "dans le nuage"(Cloud computing) est un sujet d'importance pour de nombreuses entreprises : L'agence européenne ENISA (European Network and Information Security Agency) ; centre d'expertise dans la sécurité des réseaux et de l'information en Europe ; a récemment publié un rapport "Cloud Computing Risk Assessment" de plus de 120 pages détaillant les enjeux que les services de type "Cloud computing" devront relever.

Pour réagir à certains des "bénéfices sécurité" présentés :

- Le niveau de sécurité des service en mode "cloud' est mécaniquement plus important que des systèmes dispersés : Quelques plateformes homogènes sont plus faciles à sécuriser que X ou Y environnements différents et hétérogènes.

- Le niveau d'assurance sécurité que les prestataires de services "cloud" seront en mesure de présenter à leurs clients : Ne pas avoir ; lors des procédures d'appels d'offres ou de phases de négociations ; de standard ou de certifications sécurité de ses services peut être perçu comme un désavantage vis-à-vis de la concurrence. A contrario, la sécurité est explicitement identifiée comme un différenciateur fort entre fournisseurs qui devrait logiquement tirer le sujet vers le haut.

- De nouvelles opportunités clairement issues du "Cloud computing" : La possibilité d'industrialiser les environnements via des images de systèmes "endurcis" afin de bénéficier d'un très haut niveau de sécurité dès les premières secondes de vie d'un système ; ou encore via le système de création de "snapshots" de proposer des services facilitant les investigations sur incident/intrusion.

D'un autre coté, les zones de risques pointées du doigt sont aussi bien présentes, quelques exemples :

- Maitrise de la gouvernance sécurité : Lors du passage dans un mode "Cloud computing" le responsable sécurité de l'entreprise peut légitimement se considérer comme dépossédé de ses prérogatives de définition d'une stratégie de sécurité et sa décli

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)