Sécurité du cloud computing : définir les risques en matière de données et évaluer le fournisseur

 

L’idée que vos informations confidentielles se trouvent entre les mains d’un autre vous angoisse-t-elle ? L’une des conséquences du cloud computing peut en effet être une perte de contrôle. Transférer le traitement de vos données vers un tiers, c’est transférer également un peu de la responsabilité qui leur est associée en matière de sécurité et de conformité. Il n’est donc pas étonnant que les professionnels de la sécurité soient nerveux. Par conséquent, il est capital que vous ayez entièrement confiance en votre fournisseur de services de cloud computing pour le traitement sécurisé de vos données.


En février 2011, l’International Information Systems Security Certification Consortium (ISC)2 a publié sa Global Information Security Workforce Study (étude mondiale auprès des spécialistes de la sécurité de l’information). Elle révèle que 92 % des 10 413 professionnels de la sécurité interrogés désirent acquérir une compréhension détaillée du cloud computing avant d’être suffisamment satisfaits pour le mettre en œuvre.


Des organismes industriels consacrent déjà leurs efforts au développement de meilleures pratiques en termes de sécurité du cloud computing. La version 2.1 du guide de la Cloud Security Alliance sur la gouvernance et la gestion des risques d’entreprise dans le cloud fournit des conseils sur la façon dont surmonter les problèmes de sécurité du cloud. Elle recommande notamment qu’une partie des coûts économisés grâce aux contrats de cloud soit réinvestie dans l’examen minutieux de la sécurité du fournisseur du cloud.


« La gouvernance en matière de sécurité des informations doit résulter d’une collaboration entre les clients et les fournisseurs afin d’atteindre des objectifs fixés qui permettent la mise en œuvre de la mission de l’entreprise et du programme de sécurité des informations, » explique le guide. La responsabilité du client englobe la définition des tolérances de risques pour les services basés sur le cloud.


L’une des premières mesures que les entreprises doivent prendre est d’acquérir une véritable compréhension de la nature des données de leur organisation. « Si la règle habituelle concernant la confidentialité est appliquée à la classification des données, 85 % seront publiques (et prêtes à passer au cloud), 10 % seront internes (et par conséquent moins adaptées aux clouds publics), et uniquement 5 % seront confidentielles et donc totalement inadaptées à un quelconque régime de sécurité ouvert (discrétionnaire), » affirme Rolf von Roessing, vice-président international de l’ISACA et membre du Comité de gestion de la sécurité de l’ISACA. L’astuce est ici de comprendre quelle donnée entre dans quelle catégorie.


Pour cela, les entreprises doivent mettre à jour leurs politiques d’achats afin de s’assurer que les experts de la sécurité font partie de chaque équipe de projet. Elles peuvent effectuer une analyse des risques afin d’évaluer les aspects relatifs à la sécurité et la confidentialité des solutions de cloud computing avant de faire appel à un fournisseur de services. Une fois celui-ci engagé, les entreprises doivent définir soigneusement un ensemble d’objectifs de sécurité que ce fournisseur doit atteindre. Il convient alors d’intégrer ces objectifs et les indicateurs associés au contrat de service et de les surveiller régulièrement tout au long du cycle de vie du service. Ces indicateurs de sécurité informatique devraient fournir aux entreprises, d’une manière prédéfinie et mesurable, l’assurance que le fournisseur de service protège efficacement leurs informations.


En tant que post-scriptum de ce blog sur la sécurité, il est intéressant de regarder cette interview avec Peter Block, expert Orange en cloud computing, filmée lors du Orange Business Live de l’année dernière ! Il y explique comment la sécurité du cloud computing doit répondre aux trois problèmes clés que sont la confidentialité, l’intégrité et la disponibilité (confidentiality, integrity and availability, CIA) ainsi que la vie privée, et suggère des approches sur la façon dont les entreprises peuvent les surmonter avec succès.

Qu'en pensez-vous?

Anthony Plewes

Photo: Arun Kulshreshtha
 

Anthony Plewes

After a Masters in Computer Science, I decided that I preferred writing about IT rather than programming. My 20-year writing career has taken me to Hong Kong and London where I've edited and written for IT, business and electronics publications. In 2002 I co-founded Futurity Media with Stewart Baines where I continue to write about a range of topics such as unified communications, cloud computing and enterprise applications.