RSA Conference : La Cloud Security Alliance milite pour un nuage sécurisé

La Cloud Security Alliance c’est parti. La sécurité des futures infrastructures de Cloud Computing ont été au cœur des débat de la RSA Conference cette semaine et également l’occasion, pour ce nouveau consortium, d’organiser son lancement officiel. Poussé par trois acteurs spécialisés dans les offres en ligne - PGP Corp, Qualys, et Zscaler –, le groupement a pour objectif de proposer les meilleures pratiques en matière de sécurité dans le nuage et également d’éduquer les utilisateurs sur la manière dont ces pratiques peuvent se décliner sur d’autres types d’infrastructures. L’Alliance s’est d’ailleurs dotée d’un directeur technique en la personne de l’expert en sécurité Chris Hoff. Autre objectif, évangéliser auprès des futurs fournisseurs d’applications en ligne sur les solutions en matière de sécurisation des échanges.

Un premier pas dans ce sens a déjà été franchi en amont, au niveau de l’infrastructure elle-même. Le Cloud Computing reposant également sur un système virtualisé, le gros des éditeurs traditionnels de solutions de sécurité ont déjà adapté leurs logiciels pour qu’il adressent la virtualisation. La plupart ont également adhéré au VMSafe program, le programme mis en place par VMWare – numéro un sur la virtualisation – pour faciliter la sécurisation de ses systèmes. Une problématique qui intéresse du monde puisque le controversé Open Manifesto lancé récemment par des pointures - mais sans Microsoft, ni Amazon ou encore Google - met également la sécurité au cœur des enjeux d’une informatique en nuage ouverte et interopérable.

La sécurité, au cœur des préoccupations…

De fait, si le Cloud Computing ou les services logiciels (Saas) sont promis à un bel avenir, la sécurité est jusqu’à présent le nœud qui fait hésiter nombre d’organisations. Une question en passe de se régler selon Philippe Courtot, PDG de Qualys, spécialiste de la sécurité du SI en pointe sur les solutions en ligne et cofondateur de la Cloud Security Alliance, pour qui « on observe actuellement un changement de perspectives; les responsables de la sécurité des SI commencent à réaliser que les besoins de leurs organisations ne nécessitent plus en priorité un contrôle des données à l’intérieur de la structure mais s’orientent vers la possibilité d’échanges de données sécurisées au-delà de l’entreprise. » [Lire l’intégralité de l’entretien] Un avis que ne partage pas nécessairement John Chambers, le patron de Cisco, qui – s’il est un fervent supporter du Cloud Computing – estime néanmoins sur le site de notre confrère Computerworld, et toujours à l’occasion de la RSA Conference, que la sécurité sera un cauchemar pour ce nouveau type d’informatique.

… Mais toujours très négligée

C’est aujourd’hui toujours le risque, pour de nombreux DSI, si l’on en croit une récente étude menée par Deloitte qui affirme que, si de nombreuses organisations s’intéressent à la manière dont les données seront protégées sur le Cloud, peu cherchent réellement des solutions. 82,6% affirment même n’avoir mis en place aucun programme spécifique pour valider la manière dont leurs fournisseurs administrent leurs données du point de vue de leur intégrité, alors même qu’ils ont accepté les termes du contrat les engageant.

Difficile de déposer – et d’en avoir la responsabilité - des données aussi importantes que les email, les documents internes, voir celles des applications de gestion à l’extérieur de l’entreprise sans mettre en place des mécanismes de contrôle voir d’assurance associés. C’est pourtant ce à quoi semblent s’exposer les décideurs qui ont déjà sauté le pas vers le Cloud, selon Deloitte qui pointe du doigt un problème de maturité face à une nouvelle relation fournisseurs.

Pourtant, parmi tous les décideurs interrogés par le cabinet d’étude, 45% ont déjà acheté des services de Cloud Computing et 22% réfléchissent à la faire prochainement. Les services phares sont le stockage de données (27,7% des cas) ; la messagerie (12,8% des cas) ; les applications de gestion (17%) et les bases de données (16,1%). Pour tout ceux là, la Cloud Security Alliance et toutes les organisations favorisant l’émergence d’un nuage sécurisé arrivent à point nommé.