Alors que s’ouvre aujourd’hui la conférence RSA, grand messe mondiale de la sécurité, à San Francisco, se déroulait hier, dans les mêmes bâtiments du Moscone Center, le sommet annuel de la Cloud Security Alliance. Loin du hasard de calendrier, c’est bien un la qui a ainsi été donné, plaçant la sécurité du cloud au coeur des thématiques principales de cette édition 2011 de la RSA Conference.
Industrialiser la gestion des identités
Pour s’en convaincre, il suffit peut-être de regarder du côté du principal intéressé - mais pas organisateur -, RSA, la division sécurité d’EMC : alors que son président directeur Art Coviello doit s’exprimer en ouverture du salon ce mardi 15 février, l’éditeur a déjà levé le voile sur une premier annonce. Il s’agit de la création d’une Cloud Trust Autority, un ensemble de services proposés en mode SaaS qui doivent permettre de garantir la conformité réglementaire dans le nuage avec, notamment, le contrôle et le suivi centralisés des identités des utilisateurs et de leurs activités, mais aussi des opérations sur les données ainsi que sur les infrastructures - en nuage, tant public qu’hybride. Lors d’une intervention au cours du sommet de la Cloud Security Alliance, Bret Hartman, directeur technique de RSA, justifie la démarche : «le monde est parti pour être hybride pendant longtemps. Mais les modèles de confiance actuels ne passent pas à l’échelle. Il reste des problèmes de flexibilité et de contrôle.» Des problèmes auxquels l’offre de RSA veut apporter une réponse en proposant une console centrale de configuration et de déploiement de services de sécurité en mode SaaS. Une offre pour l’heure naissante qui se concentre, dans un premier temps, sur la question des identités et de l’authentification - avec notamment la gestion de de l’authentification unique, ou Single Sign-On (SSO). Le reste suivra plus tard : gestion des infrastructures, des données, avec le chiffrement, leur cycle de vie, etc. Bref, pour RSA, il s’agit, à terme, «d’éliminer l’incertitude.» Une logique que l’on retrouvera par exemple sur les stands d’Intel et Symplified, notamment. Une question également au coeur des travaux du groupe Trusted Cloud de la Cloud Security Alliance (CSA).
La confiance, mal reconnu du Cloud
Mais ce n’est pas le seul. En particulier, dans le cadre de la future version 3.0 de ses recommandations - en attendant mieux, et notamment une hypothétique transformation en standard -, la CSA s’intéresse à la fourniture de solutions de sécurité en mode SaaS et - sinon surtout - au sujet très sensible de l’audit des environnements IaaS, PaaS et SaaS des fournisseurs de solutions cloud. C’est le projet CloudAudit qui vise à fournir «une interface commune permettant aux fournisseurs Cloud d’automatiser l’audit et l’évaluation de leurs environnement, et de permettre à leurs clients autorisés de faire de même via une interface et une méthodologie ouvertes, extensibles et sûres.» Un rêve, pour beaucoup, et notamment en Europe, alors que sont régulièrement évoqués comme freins à l’adoption des solutions Cloud le contexte légal - avec des contrats régis par le droit américain - et l’opacité des infrastructures des fournisseurs. Vikas Jain, directeur du management produit Cloud Identity & Security chez Intel, posait très simplement la question : «comment construit-on une relation de confiance ?» Invité à développer sa pensée, il commence par contourner le problème : «quel que soit le fournisseur final, Google ou Amazon, votre intégrateur devrait procéder à l’audit pour vous et vous fournir toute l’information dont vous avez besoin, sous la forme dont vous avez besoin.» Soit, mais dans le cadre d’une relation directe ? «C’est à vous d’aller chercher les détails...»
Et c’est précisément l’un des objectifs du CloudAudit : faciliter l’accès à ces informations et leur partage. Pour autant, est-il facile d’aborder ces sujets avec Google ou Amazon ? «Oui, c’est un [sérieux défi] et c’est pour cela que plus on parviendra à faire pression sur les fournisseurs [de solutions Cloud], plus on arrivera à obtenir d’eux.» Bref, même vu du côté de la Cloud Security Alliance, le chemin à parcourir pour obtenir la transparence des offres Cloud semble long... Mais un Salesforce - au moins - semble en avoir compris l’importance, au point d’avoir identifié une fonction de «Chief Trust [confiance en anglais, NDLR] Officer», occupée par Jim Cavalieri. Lequel n’a pas manqué de présenter le service trust.salesforce.com : «un espace où l'on peut échanger avec nos clients autour de la disponibilité, de la sécurité, de la maintenance, des performances, etc.»
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur