RSA veut rassurer les donneurs d’ordres sur la virtualisation et le Cloud Computing

Pour Art Coviello (en photo ci-dessous), l’affaire est entendue : «l’industrie IT croit dans le potentiel de la virtualisation et du Cloud Computing.» Mais, plus encore, «les organisations IT sont en train de transformer leurs infrastructures.» Du coup, la cible se déplace de l’ingénieur au donneur d’ordre car, «dans chacune de ces transformations, le but de la sécurité reste le même - transmettre la bonne information aux bonnes personnes via une infrastructure de confiance dans un système qui peut être gouverné et administré.» Le mot n’est pas encore prononcé, mais il brule manifestement les lèvres du président exécutif de RSA : gouvernance. Une notion d’autant plus importante que les évolutions se multiplient et s’accélèrent, indépendamment des technologies sous-jacentes : «nous constations d’énormes changements dans les domaines de l’information, des identités et de l’infrastructure - un véritable cauchemar de problèmes de contrôle et de visibilité... l’antithèse de la confiance.» Et de citer, successivement, «le raz-de-marée de l’information créée et des informations sensibles partagées [...] les identités prolifèrent [...] l’ensemble de la pile IT change. Nous disposons désormais d’une couche de virtualisation qui agit comme une couche d’abstraction vis-à-vis des infrastructures de stockage, de calcul et de réseau.» Bref, «nos frontières deviennent plus logiques que physiques.» Sans compter les évolutions des menaces - à commencer par celles qui viennent de l’intérieur même des organisations - «il n’y a pas de signature virale pour un administrateur de base de données tordu.» Mais malgré tout, et «volontairement ou non, les organisations se tournent vers le Cloud en réponse aux demandes des métiers.» Alors, quitte à y aller et à virtualiser les infrastructures, autant en profiter pour jouer également ces cartes en matière de sécurité et de gouvernance. 

 Et c’est là qu’entre scène la Cloud Trust Authority présentée brièvement ce lundi 14 février par Bret Hartman, directeur technique de RSA, à l’occasion du Cloud Security Alliance Summit. Parce que «la sécurité devient logique et centrée sur l’information [...] devient intégrée et automatisée [...] et devient basée sur les risques et adaptative.» L’initiative Cloud Trust Authority vise à permettre aux organisation de gérer leurs relations avec des fournisseurs de services Cloud via une console d’administration unique orientée gouvernance. 

Un partenariat naturel avec VMware

Mais voilà, si, comme l’assure Bret Hartman, Cloud Trust Authority se doit d’être «agnostique» vis-à-vis de tout éditeur, la réalité, dans un premier temps sera quelque peu différente. De fait, le service de gestion des identités - pour fournir le provisionning des utilisateurs et le SSO à l’échelle de multiples services Cloud - va se baser sur le projet Horizon de VMware. Lequel doit d’ailleurs s’appuyer sur la technologie de TriCipher, acquise l’été dernier. L’ensemble pourra être matiné d’authentification forte avec les solutions ad hoc de RSA, à l’instar de SecurID et Adaptive Authentication, notamment. Mais il y est bien là question de «partenariat étroit avec VMware», ne serait-ce que parce que tout cela «n’est qu’un début et que chacun essaie d’abord de construire ses briques avant de voir comment travailler ensemble.»

Cloud Trust Authority, ce doit également être un service de gestion de la conformité adossé à la plateforme ad hoc de RSA, Archer GRC (Gouvernance, risque et conformité). Celui-ci doit notamment permettre de confronter les profils de confiance de différents fournisseurs Cloud à des benchmarks industriels développés par la Cloud Security Alliance - «un pas en avant vers plus d’automatisation de la conformité dans les services Cloud», indique RSA dans un communiqué de presse. Mais là encore, VMware et ses partenaires pourraient avoir, au moins dans un premier temps, un avantage certain : lors de la présentation d’Art Coviello, Richard McAniff, co-président et directeur du développement de VMware, n’a ainsi pas manqué de souligner que ses équipes travaillent à un projet d’intégration des solutions de DLP de RSA pour vShield, mais aussi avec Intel pour «construire une plateforme vSphere de confiance». Pour autant, RSA a de son côté annoncé un partenariat avec McAfee pour le développement de solutions conjointes pour la sécurité des infrastructures et la collecte des données d’incidents de sécurité - comprendre, l’intégration d’Archer avec la plateforme ePolicy Orchestrator de McAfee mais aussi, plus loin, avec les outils Policy Auditor et Vulnerability Manager de ce dernier.

Les limites de l’interopérabilité

De son côté, Bret Hartman reconnaît que si la gestion de la gouvernance peut assez aisément s’accommoder d’environnement hétérogènes pour les identités et les données, ou encore les règles de conformité, cela reste moins vrai dès que l’on touche aux traitements applicatifs - «chacun essaie d’avoir une solution robuste à proposer. Notre priorité porte sur les vBlock.» Les offres packagées d’infrastructure associant VMware, Cisco et EMC. La boucle est bouclée. Cela dit, Richard McAniff a souligné «travailler avec des fournisseurs tels que Cisco et HP pour intégrer la sécurité réseau, ou avec des vendeurs tels que Trend et Symantec pour intégrer la sécurité du terminal.» HP vient d’ailleurs d’annoncer son intention de coopérer avec VMware à l’intégration et à la commercialisation de l’IPS de sa division TippingPoint avec vShield. Reste qu'au final, pour la gestion des environnements d’infrastructure hétérogènes, Bret Hartman renvoie, pour l’heure, aux «start-ups»... De là à commencer à constituer une liste pour de futures acquisitions, il n’y a qu’un pas que certains n’hésiteront peut-être pas à franchir.