Tribune libre : la gestion de la sécurité dans le cloud computing

Cloud

Comment les organisations publiques et privées parviennent-elles à mettre en place des environnements de calcul en cloud hautement sécurisés et extensibles ? Réponse de Stephen Schmidt, responsable de la sécurité des informations, Amazon Web Services.

La responsabilité de la sécurité étant partagée, il est important de comprendre qui, de l’utilisateur ou du prestataire, est responsable de quoi à chaque niveau. Les services d’infrastructure en cloud tels que ceux proposés par AWS constituent un environnement de calcul extrêmement flexible, qui offre aux entreprises une grande maîtrise de leur sécurité. Pour peu qu’elles adoptent une approche adéquate, le recours à un fournisseur d’infrastructure informatique peut les aider à améliorer considérablement leur niveau de sécurité.

Les organisations publiques et privées sont conscientes des apports du cloud en termes d’allégement de la charge de gestion des serveurs et des centres informatiques. Cela implique cependant que la sécurité associée à la gestion de l’infrastructure physique soit transférée au prestataire de services en cloud, ainsi que la sécurité et la technologie qui permettent la virtualisation sur les différents systèmes d’exploitation.

C’est pourquoi le prestataire d’infrastructure doit être un expert absolu de la mise en œuvre de grands centres informatiques et de la gestion de la redondance. Il doit être à même de sécuriser ces centres de données, qui peuvent être disséminés dans tout le pays, voire, dans le monde entier.

En ce qui concerne la sécurité physique, cela signifie qu’il est responsable de la gestion des équipes de surveillances, des clôtures, des portails et des caméras. Il doit garantir que chaque élément du dispositif de sécurité respecte des directives très strictes.

La sécurité des milliers de serveurs, commutateurs, équilibreurs de charge et machines virtuelles constitue à elle seule un défi considérable. C’est la raison pour laquelle les organisations soumises à des réglementations très exigeantes se fient aux certifications et accréditations émises par des auditeurs externes.

Il ne s’agit pas là d’un processus nouveau pour nos clients. Depuis longtemps, les certifications et les revues par des organismes tiers aident les organisations publiques et privées à se conformer  en toute connaissance de cause aux critères de sécurité qui leur sont imposés.

La certification la plus répandue et la plus respectée est la norme ISO-27001, mais les prestataires d’infrastructure informatique sont également soumis à des audits SAS 70 Type II, qui vérifient qu’ils respectent leurs propres règles internes.

Le recours à des auditeurs pour certifier le niveau de sécurité d’une infrastructure informatique est aussi un moyen d’alléger la charge de travail des DSI. Ce gain de temps leur permet de mieux focaliser leurs ressources sur les travaux qui en ont le plus besoin : les applications.

(lire la suite de la tribune libre en page 3)

Lire aussi :