Cloud Assurance

Aujourd’hui, le cloud nous est devenu indispensable. Nous stockons nos photos sur le cloud, nous payons depuis le cloud et dans le monde des affaires, des centres de données entiers disparaissent dans le cloud. De temps à autre, un sentiment désagréable nous envahit : Qu’advient-il de mes données, qui peut les lire et les utiliser ? Les entreprises aussi s’interrogent : Le cloud, c’est sûr ? Un cloud suisse serait-il plus sûr ? Il existe des incertitudes quant à l’utilisation du cloud et pourtant, les développeurs de logiciels ressentent une très forte pression pour offrir leurs solutions sous la forme d’un service d’abonnement depuis le cloud. Plus personne n’achète de packs logiciels et ne les installe sur un serveur local !

Avec les services cloud, comme pour tous les services, c’est aussi une question de confiance ! Les clients s’interrogent quant à la sécurité et la fiabilité des fournisseurs de cloud tandis que ces derniers veulent en faire preuve “objectivement”.

La solution : l’assurance cloud. En tant que fournisseur, je me soumets à une procédure de test externe afin de prouver que je suis prudent, méticuleux, contrôlable et au fait sur le plan technologique. Pour les clients, il s’agit d’un label de qualité externe et indépendant pour les compétences du fournisseur.

Il existe deux procédures de test dites “STAR” (Security, Trust and Assurance Registry) pour le secteur du cloud.

La norme de facto : Cloud Security Alliance

Créée en 2008, l’organisation Cloud Security Alliance (CSA, cloudsecurityalliance.org) publie en 2011 la Cloud Controls Matrix. Elle définit des contrôles détaillés pour 16 domaines de la gestion du cloud :

Thèmes CAIQ/CMM

• Application & Interface Security
• Audit Assurance & Compliance
• Business Continuity Management & Operational Resilience
• Change Control & Configuration Management
• Data Security & Information Lifecycle Management
• Datacenter Security
• Encryption & Key Management
• Governance and Risk Management
• Human Resources
• Identity & Access Management
• Infrastructure & Virtualization Security
• Interoperability & Portability
• Mobile Security
• Security Incident Management, E-Discovery, & Cloud Forensics
• Supply Chain Management, Transparency, and Accountability
• Threat and Vulnerability Management

Les contrôles sont complets et détaillés, offrant ainsi une vue d’ensemble globale de la condition d’un fournisseur de services cloud. Cependant, chaque fournisseur de services cloud est différent et, en particulier pour les plus petits d’entre eux, l’application de la CMM (et du CAIQ Consensus Assessments Initiative Questionnaire correspondant pour les auto-évaluations, tous deux basés sur Excel) est difficile. Néanmoins, la CCM de la CSA est très répandue et constitue aujourd’hui la norme de facto.

Moderne et souple : StarAudit EuroCloud

La deuxième association pour l’assurance cloud est un peu moins répandue mais plus moderne et plus souple : StarAudit EuroCloud (staraudit.org). Comme son nom l’indique, StarAudit s’adresse spécifiquement aux fournisseurs européens et plus particulièrement aux petites organisations. La structure des contrôles est simplifiée (cf. graphique ci-dessous). L’application est soutenue par un outil en ligne d’auto-évaluation et de certification. L’évaluation repose sur un modèle de capacité en cinq étapes afin que les certifications puissent être obtenues à différents niveaux.

Procédure de sélection du bon fournisseur

Le programme d’assurance choisi dépend en fin de compte du marché sur lequel vous souhaitez opérer et des préférences de vos clients.

Cependant, la procédure d’évaluation et de certification ultérieure diffère à peine. D’après mon expérience, une procédure en 6 étapes s’est avérée efficace :

Dans un premier temps, les objectifs, la portée et le calendrier doivent être fixés avec le client (fournisseur ou client cloud). L’évaluation peut alors démarrer. Les faiblesses et les déficiences identifiées doivent ensuite être évaluées dans le contexte du fournisseur. La quatrième étape consiste à déterminer (avant de mettre en œuvre) des mesures visant à corriger les déficiences. Vous êtes ensuite prêt pour l’examen d’un auditeur externe, également en mesure de délivrer une certification officielle.

Les programmes d’assurance cloud des deux organisations sont aujourd’hui encore souvent considérés comme “un confort”. Avec la professionnalisation en cours du cloud, ces certifications deviendront bientôt une condition préalable obligatoire pour accéder au marché. Même les plus petits fournisseurs devront bientôt affronter cette situation.