Nuageo a rejoint Cloud Confidence, l’association qui rassemble prestataires Cloud et leurs 
clients autour d’un cadre de transparence sur la protection des données. Un des objectifs est de mettre en place un référentiel d’exigences permettant de certifier les fournisseurs Cloud.
Nuageo participera notamment à la commissions interopérabilité ainsi qu’à la commission juridique dans le but d’apporter sa vision et de rapporter les attentes des clients qui permettront d’établir la confiance avec les fournisseurs.
En rejoignant Cloud Confidence, Nuageo s’engage pour que ses clients puissent rencontrer un écosystème de confiance, dans lequel les partenaires partagent tous une même vision du Cloud: un espace sécurisé autour d’une norme reconnue et adaptée.
Nous pensons que les problématiques abordées et les solutions en construction sont des bases nécessaires pour pérenniser le Cloud en Europe.
A cette occasion il nous semble important de faire un point sur la vision qu’a Nuageo sur la sécurité Cloud, ses bases communes avec la sécurité informatique, mais surtout sur les nouveaux enjeux qui s’en dégagent.
Comme nous l’avions introduit dans un précédent billet, la sécurité est au cœur des questionnements Cloud : (des solutions existent) des solutions techniques et d’accompagnement ont été développées pour adresser les nouveaux cas d’usages que doit encadrer la DSI.. Cependant, si la sécurité est nécessaire dans tout système d’information, la perte symbolique de contrôle induite par le Cloud nécessite de remettre au premier plan la notion de « confiance ».
La question de la maîtrise des données doit être envisagée sous 2 angles :
-
- La sécurité informatique classique
- Physique : les accès directs aux serveurs, dans les datacenters
- Malveillance : piratage, logiciels malveillants, social engineering…
- Flux : les échanges de données qui passent désormais par internet, et doivent de fait être chiffrés
- Organisation : le facteur humain qui est le plus souvent la source des failles de sécurité
- La confiance envers le fournisseur de service Cloud (CSP)
- Contrats, SLA, PLA
- Certifications & labels
- Audits de la chaine de sous-traitance incluant le CSP (Cloud service provider)
- Historique opérationnel
- La sécurité informatique classique
La réflexion qui s’engage autour de la sécurité dans le Cloud n’est pas uniquement technique : il s’agit de construire plus de confiance et d’ouverture en s’appuyant sur de nouveaux leviers tels qu’une compréhension poussée du contexte métier du client ou des enjeux juridiques.
Comme nous l’avons déjà souligné, la donnée est au centre de ces nouveaux modèles informatiques. Toutefois, un point majeur évolue : les données sont stockées à “l’extérieur” de l’entreprise. Ainsi la maîtrise passe également par la connaissance de l’environnement qui entoure le stockage de celle-ci:
Une fois les enjeux de localisation intégrés, il est important de pouvoir qualifier le niveau de criticité des données. Pour cela, le modèle DICT est un outil relativement simple et efficace pour mettre en évidence les enjeux liés à chaque type de données, en fonction des usages associés.
Pour rappel :
- La disponibilité : Le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu.
- L’intégrité : Les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En bref elle doivent être exactes et complètes.
- La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
- La traçabilité (ou « Preuve ») : “garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.”
Cette matrice nous aide donc à qualifier la donnée et le risque qui lui est associé. Une fois cela déterminé, des contres mesures pour minimiser le risque peuvent être déployées.
Les usages Cloud incitent donc à une actualisation de la stratégie sécurité à cause des facteurs suivants:
- Multiplicité et facilité des accès
- Perte de contrôle physique sur les données
- Nouveaux enjeux : juridiques et organisationnels
- Nouveaux challenges : réversibilité, intégration, disponibilité, besoin de confiance
La confiance devient donc l’un des principaux garants d’une politique de sécurité efficace, et se substitue à une vision “pessimiste” de défiance vis à vis de ses fournisseurs. Les certifications et les solutions spécifiques permettent aux DSI de déployer une politique de sécurité la plus adaptée à l’organisation de l’entreprise et à ses processus.
Pour atteindre cet objectif, nous sommes convaincus qu’il est nécessaire de considérer avant tout les usages des utilisateurs. Par son expertise fonctionnelle et technique, la DSI est l’interlocuteur privilégié des directions métiers pour comprendre et transcrire ces besoins pour mettre en place les solutions adaptées. Les échanges entre DSI et métiers deviennent alors des piliers pour garantir la qualité des solutions et leur intégration totale dans la stratégie SI de l’entreprise.
En conclusion, la mise en place de solutions Cloud doit être l’opportunité de placer les utilisateurs et leurs usages au centre de la réflexion sur la sécurité. L’enjeu est de garder la maîtrise des systèmes mais surtout de restaurer la confiance des utilisateurs.
La récente prise de conscience par les entreprises des impératifs de sécurité, dans le cadre d’une migration vers des outils Cloud, s’inscrit donc en complément des actions existantes liées à la conduite du changement et des efforts d’évolution de la stratégie SI.
L’émergence de ces problématiques a conduit Nuageo à rejoindre Cloud Confidence afin d’accompagner nos clients dans la définition d’une stratégie SI profitant des avantages que le Cloud lui confère dans un cadre durable avec des partenaires de confiance.