Après coup, je l’ai parcouru plus en détail sur la majorité de ses chapitres. La particularité de ce livre est qu’il est écrit comme un roman avec de longs paragraphes sur les volets concernant la sécurité. De plus, il y a pleins d’anecdotes relatives à des incidents sur la sécurité informatique.
Le 1er constat est que je n’ai rien découvert de
majeur dans la démarche et les actions à engager pour la sécurisation du Cloud. A vrai dire, cela s’explique
par mon activité professionnelle qui est en partie associée à la sécurité
informatique. Ce livre n’est pas destiné en priorité aux professionnels de
l’informatique associés aux Cloud
(architecte de tout ordre : IT,
sécurité, software, SI, développeurs, etc.), mais plutôt à des responsables
informatiques d’entreprises qui désiraient connaître les points importants à
exprimer, contrats à l’appui, vis-à-vis des hébergeurs de services, voire pour
des Clouds privés
quel que soit le modèle de services mis
en œuvre. Un point fort du livre est une check-list des points de sécurité à
valider auprès de fournisseurs de services. Celle-ci concerne 17 points avec
plusieurs items avec environ une douzaine d’axes par item, allant de la
sécurité de base, aux considérations métiers,
à la sécurité profonde des environnements d’hébergement (DataCenter, administration,
exploitation, etc.). Ceci pourrait être une base de l’expression de besoins
client vis-à-vis de la dématérialisation de ses services informatiques dans le Cloud.
En conséquence, il sera opportun qu’à minima, les
fournisseurs de services puissent répondre à ces attentes clients (légitimes) avec
preuves à l’appui. Bien qu’il existe, outre Atlantique, des organismes de
validation de la qualité (audits à l’appui) des fournisseurs de services
(ex : CloudAudit, Cloud Security Alliance, etc.) ainsi
que des frameworks
facilitant les contrôles (ex : matrice de contrôles CSA), il faut qu’il en soit de même sur notre continent, voire
notre pays. Alors avis aux amateurs pour monter ce business à l’aide d’experts pour
fournir les certifications nécessaires.
Aucun commentaire:
Enregistrer un commentaire