La sécurité dans le Cloud

C’est l’une des premières priorités des clients  à l’adoption des modèles du Cloud Computing. Alors bien que le sujet ne me soit pas étranger, j’ai trouvé par hasard, le livre de JR Winkler aux éditions Pearson avec l’intitulé du titre de ce billet.  L’auteur est un consultant US qui travaille, entre autres, pour le gouvernement américain. Je l’ai vite feuilleté et trouvant qu’il y avait du contenu, en dehors des informations courantes sur ce domaine. Je l’ai donc  acheté (environ 35€, en édition papier).

Après coup, je l’ai parcouru plus en détail sur la majorité de ses chapitres. La particularité de ce livre est qu’il est écrit comme un roman avec de longs paragraphes sur les volets concernant la sécurité. De plus, il y a pleins d’anecdotes relatives à des incidents sur la sécurité informatique.

Le 1^er constat est que je n’ai rien découvert de majeur dans la démarche et les actions à engager pour la sécurisation du Cloud. A vrai dire, cela s’explique par mon activité professionnelle qui est en partie associée à la sécurité informatique. Ce livre n’est pas destiné en priorité aux professionnels de l’informatique associés aux Cloud (architecte de tout ordre : IT, sécurité, software, SI, développeurs, etc.), mais plutôt à des responsables informatiques d’entreprises qui désiraient connaître les points importants à exprimer, contrats à l’appui, vis-à-vis des hébergeurs de services, voire pour des Clouds privés quel que soit le  modèle de services mis en œuvre. Un point fort du livre est une check-list des points de sécurité à valider auprès de fournisseurs de services. Celle-ci concerne 17 points avec plusieurs items avec environ une douzaine d’axes par item, allant de la sécurité de base, aux considérations métiers,  à la sécurité profonde des environnements d’hébergement (DataCenter, administration, exploitation, etc.). Ceci pourrait être une base de l’expression de besoins client vis-à-vis de la dématérialisation de ses services informatiques dans le Cloud.

En conséquence, il sera opportun qu’à minima, les fournisseurs de services puissent répondre à ces attentes clients (légitimes) avec preuves à l’appui. Bien qu’il existe, outre Atlantique, des organismes de validation de la qualité (audits à l’appui) des fournisseurs de services (ex : CloudAudit, Cloud Security Alliance, etc.) ainsi que des frameworks facilitant les contrôles (ex : matrice de contrôles CSA), il faut qu’il en soit de même sur notre continent, voire notre pays. Alors avis aux amateurs pour monter ce business à l’aide d’experts pour fournir les certifications nécessaires.