Sécurité : le Cloud prêt à décrocher son contrat de confiance

Comme un soulagement, le cloud pourrait bien être sur le point de gagner son contrat son confiance. C’est le sentiment que donne l’annonce d’un rapprochement entre la Cloud Security Alliance, une association d’industriels militant pour la sécurité du Cloud à travers des bonnes pratiques - inaugurée officiellement en 2009 lors de la RSA Conference -,  et du très sérieux organisme de standardisation international ISO. A la clé : la définition de standards et de bonnes pratiques autour de la sécurité du nuage ainsi que sur les données personnelles, mais également (surtout) d’indicateurs de contrôle qui faciliteront la mesure du niveau de sécurité.

Dans le cadre de cette alliance, officialisée le 20 avril dernier, la CSA a établi un comité de liaison de catégorie C avec le comité technique (Joint Technical Committee) de l’ISO (référencé 1/SC 27) qui s’occupe de la question ‘Techniques de sécurité des technologies de l'information”. CSA jouera un rôle clé dans ce comité technique en s’impliquant dans le développement via des contributions et en siégeant au sein des groupes de travail. Surtout en se rapprochant de l’ISO, CSA montre aux entreprises que ses bonnes pratiques sont construites pour durer et qu’elles peuvent dès lors se les approprier.

Présentées comme le point bloquant n°1 en matière d’adoption du cloud, la sécurité et la préservation des données dans le cloud ont connu ces dernières semaines de belles déconvenues. Accentuant quelque peu les risques autour du nuage. Amazon, par exemple, dont la très importante panne d’infrastructure, a immobilisé de nombreux sites aux Etats-Unis. Mais également le cas de Sony et du double de piratage de ses services en ligne de jeux grand public (PlayStation Network et Sony Online Entertainment), qui a débouché sur le vol des numéros de carte de crédit de plusieurs millions d’utilisateurs.

Rassurer les PME

Dans ce contexte où sécurité et données privées sont mises à mal, voir l’ISO s’intéresser à la question a un effet “adoucissant” pour les entreprises. C’est notamment l’avis d’Eric Fradet, directeur de l’Industrialisation chez Steria, pour qui ce rapprochement devrait contribuer à rassurer . “La mission du CSA s’arrêtait au niveau des best practices. Si cela suffit pour nous - nous sommes en permanence à la recherche de certification et de bonnes pratiques pour ramener les clients -, les clients quant à eux veulent davantage d’éléments tangibles. L’ISO devrait alors les rassurer un peu plus”.  Dans un premier temps, cette alliance pourrait donc jouer en faveur des PME, poursuit-il . Car “si les grands comptes disposent des ressources nécessaires pour appréhender la sécurité du Cloud, les PME, qui représentent l’utilisateur naturel du Cloud, ont encore besoin de solution clé en main qui répondent à leur besoin immédiat”, commente-t-il. D’où la nécessité pour ce segment de pouvoir s’appuyer sur des certifications ou des normes internationales, qui viennent garantir un niveau de sécurité minimal des solutions, et sur lesquelles elles peuvent s’appuyer rapidement ... en toute confiance. Le fameux sceau ISO est donc une clé pour la porte des nuages. D’ailleurs, Eric Fradet compte bien faire valoir cette alliance auprès des clients de la SSII.

Cette idée d’étiquette sécurité avait également été évoquée par Eurocloud, dans ses 17 recommandations adressées au gouvernement en mars dernier. Sans indiquer de standardisation, l’association en charge de la promotion de l’informatique en nuage en France (ex-ASP Forum) avait  recommandé la création d’un label de sécurité pour le Cloud (et surtout le Saas) qui viendrait classer les offreurs et les solutions. Il y avait également glissé un concept de liste noire qui listerait les offreurs de services, ayant déjà subi une condamnation - mais dont la portée se limiterait aux seuls frontières de la maison de cette offreur.