Comment améliorer la sécurité Cloud
Garder les réseaux informatiques et les données en sécurité est essentiel pour les entreprises.
Le besoin de solutions de stockage plus rentables et de logiciels ainsi que l'accès mobile a conduit à une augmentation de l'adoption du cloud computing – et alors que le cloud computing a développé de nombreuses nouvelles possibilités, il présente aussi un certain nombre de nouveaux risques de sécurité vis-à-vis des informations de l'entreprise. Grâce à la mise en œuvre de la norme ISO/IEC27001, la norme internationale de management de la sécurité de l’information la plus largement adoptée, les entreprises peuvent s'assurer qu'elles ont une compréhension complète des risques encourus et des impacts sur l’activité de telle sorte que les contrôles puissent être mis en place pour protéger les informations critiques de l'entreprise.
Qu'est-ce que le cloud computing ?
Le Cloud computing offre un moyen d'utiliser et/ou stocker les logiciels et les données à la demande via un réseau en ligne – connu sous le nom de services cloud. Les fournisseurs de services gèrent l'infrastructure et les plates-formes qui exploitent ces ressources, qui sont stockés à distance et peuvent être consultés par n'importe quel utilisateur à partir de son bureau. Cela peut aider à réaliser des économies d'échelle et de réduire le coût d'un investissement dans une infrastructure informatique spécifique de la société. Le Cloud computing vous permet également d'accéder aux logiciels, données et applications que vous voulez sur demande à partir de n'importe quel endroit – en donnant à vous et votre personnel une plus grande flexibilité dans la façon dont vous travaillez.
Qu'est-ce que la certification STAR ?
Comme avec toutes les normes de systèmes de management, ISO/IEC27001 a été rédigée de telle manière qu'elle puisse être appliquée à toute organisation, grande ou petite, dans tous secteurs. En tant que tel, il y a des exigences particulières spécifiques au cloud computing qui ne sont pas couvertes ou doivent être couvertes avec plus de précision.
Développé par la Cloud Security Alliance (CSA) le Cloud Controls Matrix (CCM) comble cette lacune en fournissant un ensemble supplémentaire de commandes pour les fournisseurs de services de cloud computing.
Un accord commun a été signé par le CSA et BSI en août 2012 pour mettre au point un système de certification tierce partie de la sécurité cloud appelé certification STAR. Le système intègre les exigences de la norme ISO 27001, et un indice de maturité pour indiquer la façon dont une organisation se conforme aux exigences spécifiques supplémentaires du cloud mais aussi pour pousser les efforts d'optimisation en évaluant les capacités des organisations ainsi que les complexités.
Ce nouveau système aidera à l'adoption de services de cloud computing par les entreprises en favorisant une plus grande transparence et permettant aux fournisseurs de services de cloud computing de donner confiance à leurs parties prenantes sur le fait d’avoir les contrôles nécessaires en place pour sécuriser les données qu'ils détiennent.
Quels sont les avantages ?
S'il n'existe pas de mandats réglementaires, la certification STAR permettra :
- Une visibilité totale pour le top management pour évaluer l'efficacité de leur système de management par rapport aux attentes de la norme internationale et de l'industrie de la sécurité cloud
- De mettre en œuvre un audit adapté qui reflète la façon dont les objectifs de l'organisation visent à optimiser les services de cloud computing
- A une organisation de démontrer les niveaux de progrès et de performance via un prix validé de façon indépendante par un organisme externe certifié
- Aux organisations de comparer leurs performances par rapport à leurs pairs
La certification STAR permettra aux clients potentiels de l'organisme agréé une plus grande compréhension du niveau des contrôles qui sont en place ainsi que de mettre en évidence les domaines dans lesquels une organisation peut souhaiter se concentrer.
Qui est la certification STAR ?
Le programme est disponible pour toute organisation offrant des services cloud, ou qui est en processus de certification à la norme ISO/IEC27001. Le périmètre de la certification ISO/IEC27001 ne doit pas être inférieur à la portée de la certification STAR.
S'il n'existe pas de pilotes réglementaires pour les entreprises pour obtenir la certification, les fournisseurs de sécurité cloud cherchent maintenant des dispositions de certification plus robustes. Alors que leurs clients placent un niveau élevé de confiance en eux, un fournisseur de sécurité cloud devra démontrer une plus grande assurance sur le fait que cette confiance n'est pas déplacée. Pour les fournisseurs IT, cela est particulièrement important car leurs clients ne seront souvent pas des experts en sécurité informatique et donc iront chercher une certification indépendante tierce partie comme indication de la compétence des organismes à fournir des services de cloud computing.
La certification STAR rassurera car elle nécessite que l’organisation réponde aux questions spécifiques qui sont essentielles à la sécurité du cloud et le modèle de maturité évalue dans quelle mesure le management des activités dans les zones de contrôle se fait.