un cloud certifié = un cloud sécurisé ?

Partager

Pour évaluer un fournisseur cloud, la certification semble être la solution idéale : facile à évaluer, indépendante, et engageante. Mais est-ce que choisir un fournisseur certifié est vraiment la garantie de la sécurité ? Les réponses ci-dessous sous forme de questions-réponses.

quelle certification cloud dois-je demander à mon fournisseur ?

Aucune. Il n'existe actuellement pas de certification spécifique pour le cloud. 

ah bon, alors comment fais-je pour évaluer le sérieux et la sécurité de mon fournisseur ?

Ca tombe bien car c'est justement sur ces 2 points que des normes existent. Elles ne sont pas spécifiques au cloud, mais s'appliquent encore très bien. La norme ISAE 3402 (version internationale de la SSAE 16, ou ex-SAS 70) permet bien d'évaluer le sérieux d'un fournisseur en vue d'une externalisation, en vérifiant à tous les niveaux de l'entreprise que des contrôles sont en place. Cette norme est très importante par exemple pour les grandes entreprises soumises au Sarbanes Oxley Act.

et la sécurité disiez-vous ?

La norme ISO27001 est le label qu'il faut aller chercher à ce niveau-là. Il garantit que pas mal de contrôles de sécurité ont été mis en place sur l'authentification des administrateurs, la protection des données...

ISO27001 et ISAE3402, le duo gagnant donc...

Oui, mais certaines spécificités du cloud ne sont pas couvertes par ces normes, comme l'élasticité, la sécurisation des APIs, la sécurisation de l'hyperviseur, etc. La certification STAR préparée par la Cloud Security Alliance, compatible avec ISO27001, comble une partie de ces trous (voir article) . En auto-évaluation à ce jour, et avec des auditeurs tiers à partir de 2014. Mais la principale innovation apportée par la certification STAR est la transparence, en effet les documents produits sont publiés sur Internet et permettent d'évaluer rapidement la sécurité d'un fournisseur.

Des normes internationales spécialisées sur le cloud sont également en cours de préparation comme ISO27017,  et ISO27018...
Certaines applications nécessitent de plus des certifications supplémentaires comme  pci-dss pour l'hébergement de données bancaires, safe harbor pour les fournisseurs US devant héberger des données issues de l'union européenne, l'agrément santé pour héberger des données de santé à caractère personnel...

ça a l'air compliqué...

Ca l'est, d'autant que je n'ai pas parlé des initiatives portées par l'ETSI ou l'UIT. c'est pourquoi l'union européenne a lancé une initiative pour s'y retrouver dans la jungle des standards, et promouvoir ses propres recommandations comme par exemple pour les cloud gouvernementaux. En attendant, un bon outil pour s'y retrouver est la Cloud Control Matrix qui effectue le mapping de ses contrôles avec certains standards comme ISO27K, COBIT, PCI-DSS, FedRamp...

ouf ! Mon fournisseur cloud a les bons certificats, suis-je pour autant sécurisé ?

La certification est un élément très important de confiance qui garantit que vous travaillez avec un professionnel... mais il n'est pas inutile de creuser un peu plus. Se met-il à jour des dernières technologies pour répondre à la complexité croissante des attaques ? A t-il une équipe de supervision qui supervise et peut réagir en 24/7 ? Offre-t-il une sécurité de bout en bout ? Peut-il renforcer la sécurité de mon infra avec des fonctions avancées comme une protection anti-intrusion ou anti-dénis de service ? Peut-il gérer la sécurité de mon infra à ma place ?

et s'il ne les as pas, est-ce grave pour autant ?

La certification participe de l'environnement de confiance. C'est un élément formel et contractuel qui offre certaines garanties en cas de problème, au même titre que les éléments contractuels comme les SLA, les conditions de réversibilité, les garanties de localisation des données...
Si vous voulez mon avis, c'est quand même beaucoup mieux avec que sans...

Olivier Perrault

sur le même sujet :

CSA STAR Certification - un label de sécurité pour le cloud
certification ISO 27001 : pour économiser du temps et de l'argent #OSD13
être certifié ISO27001 ne veut pas dire être sécurisé

© scottchan - Fotolia.com

Olivier Perrault
Véritable globe trotter au sein de Orange, je me suis tour à tour occupé d'équipes d'ingénieurs geek, de marketeurs et même de mathématiciens émérites sur des sujets aussi divers que la business intelligence, les services TV et musique, la Voix sur IP et même la télématique automobile (oui ça existe). C'est ça qui est cool chez Orange.
Ce que j'aime bien avec le cloud, c'est que tout est ouvert et disponible. Les frontières entre le savoir-faire des experts et la disponibilité pour tous, grands groupes ou simples individus, tombent rapidement. Avec cette participation au blog, j'espère accélérer le mouvement à ma façon.