Un certificat « cloud confidence » est proposé par une nouvelle association. 

Depuis quelques années, les critiques fusent autour de l’hébergement mutualisé et du « cloud computing », sans parfois que les menaces soient bien identifiées. « Snowden ! » est devenu un nom derrière lequel il est d’usage de placer tout et n’importe quoi !

Nos démocraties actuelles ont oublié ce qu’elles doivent, en liberté, aux mathématiciens de l’école de Varsovie, puis aux équipes anglaises (12000 personnes) pour casser le code nazi à Bletchley Park à côté de Londres. Savons-nous encore ce que nous devons à la lecture des communications d’adversaires mortels. Savons-nous identifier nos amis, nos alliés et nos véritables ennemis ? 

Les écoutes et l’information font partie des armes modernes. Il serait naïf de le nier. Pour autant, il nous faut nous interroger sans cesse sur le risque encouru par nos entreprises et nos citoyens « ordinaires », ou « normaux », face à la NSA … et face à nos alliés américains ? C’est une véritable question. Ceci étant exprimé de manière liminaire, examinons ce projet de certification, fort louable dans son esprit, par ailleurs.

Le certificat « cloud confidence » s’articule autour de 3 collèges : offreurs de services de cloud computing, clients et prestataires de l’écosystème. La certification « cloud confidence » ne repose encore sur aucun référentiel public, mais sur un projet, ou « draft », de référentiel. Le référentiel finalisé sera publié ultérieurement …

Quelques principes de bon sens

Les principes du  projet de référentiel relèvent du bon sens et nous ne saurions les contester.

1. Les prestataires de services de cloud computing doivent s’engager à respecter les informations de leurs clients selon des principes équivalents à ceux qui prévalent pour la protection des données à caractère personnel. Ce principe doit valoir pour les informations économiques et stratégiques des entreprises. Le niveau d’exigence doit être celui du futur règlement européen sur la protection des données à caractère personnel.

2. Les prestataires de services cloud ne doivent pas être exposés d’une manière ou d’une autre à des lois ou réglementations telles que le « USA Patriot Act ». Que ce soit par l’intermédiaire d’une maison mère, d’une filiale ou de personnels amenés à intervenir entre ces différentes entités et qui pourraient être susceptibles d’être exposés à diverses pressions.

3. Les prestataires de services de cloud computing doivent suivre les référentiels de l’ANSSI concernant le cloud computing ou encore le RGS. 

Nous pouvons relever sur ce dernier critère que fort peu d’entreprises privées souhaitent se voir imposer les critères du RGS prévus pour les administrations, même si la version v2 de celui-ci l’a sensiblement simplifié ! La certification « cloud confidence » doit aussi être acceptée par les entreprises : ce troisième point ouvrira débat.

Une alliance franco-allemande pour répondre aux enjeux planétaires ?

Le principe de certification est ambitieux, prévoit une certification initiale pour 5 ans, avec audit annuel. Il prévoit des modalités de certification françaises qui devront être très prochainement étendues à l’Allemagne. Mais, une alliance franco-allemande peut-elle répondre aux enjeux planétaires ?

M° Olivier Itéanu, vice-président de l’association « cloud confidence » nous déclare que de nombreux travaux sont, certes, en cours, mais ne vont pas assez vite. Le référentiel sur le cloud computing de l’ANSSI ne sera pas prêt avant courant 2015. Il en sera de même pour l’ISO 27017. Pas de commentaires sur la certification STAR de la CSA (cloud security alliance) avec le BSI et ses niveaux bronze, silver et gold qui paraissent peu connus pour l’association « cloud confidence ».

Il reste sans doute quelques travaux de communications à mettre en œuvre entre les différentes initiatives autour de la sécurité et de la confiance sur les offres de cloud computing.

Chercher des consensus plus larges

Ne soyons cependant pas naïfs. Le NIST américain essaie, outre-atlantique, de créer des normes, référentiels et méthodes d’analyse de risques à tout va (dérivée du SP 800-30) spécifiques aux activités de cloud computing, pour les imposer à la planète entière. Pourquoi ne pas faire de même ? Querelle de cours de maternelle …

Peut-être pour chercher des consensus plus larges. Car finalement, la logique du cloud computing qui est celle des économies d’échelles, peut-elle vivre à l’échelle d’un seul ou de deux pays, fussent-ils la France et l’Allemagne réunis ? Sans doute pas. Ne peut-on pas alors passer plus directement à l’étape suivante ? Et prendre une véritable place de premier rang …




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143688
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI