La gouvernance dans le cloud

Peut-on faire confiance au cloud ? Dans la gouvernance du cloud, rien n’est ni tout blanc ni tout noir; il s’agit surtout de manier les différentes teintes de gris de manière avisée.

Auteur / Autrice Markus Schweizer
Date 30.08.2017
Temps de lecture 8 Minutes

Peut-on faire confiance au cloud ? Moi-même, je me surprends à apprécier énormément les avantages du cloud en ce qui concerne sa disponibilité et son confort, mais à avoir quand même des doutes.

Un exemple : les examens et les certificats d’APMG, le partenaire mondial de formation d’Axelos (ITIL, Prince 2, etc.), sont aujourd’hui tous disponibles en ligne. Cela signifie que tous mes certificats sont mis en ligne et peuvent être consultés à tout moment et en tout lieu. C’est très confortable, mais je télécharge quand même tous mes certificats et je les enregistre localement. Surtout maintenant que le partenariat de formation d’Axelos passe d’APMG à Peoplecert et que se pose la question : que va-t-il se passer avec mes certificats ?

Le deuxième exemple concernant l’insécurité du cloud. J’entends régulièrement cette remarque dans les entretiens avec les clients : “On ne peut pas aller dans le cloud, car la NSA lirait nos données !”

Dans ces exemples, on ne peut pas simplement répondre par un oui ou par un non à la question de la confidentialité et de la sécurité des données dans le cloud. Dans la gouvernance du cloud, rien n’est ni tout blanc ni tout noir; il s’agit surtout de manier les différentes teintes de gris de manière avisée.

En effet, dans ces deux exemples, il est facile de réfuter les préjugés et les opinions sur le cloud :

  • Les certificats sont-ils vraiment mieux conservés sur mon disque local que dans le cloud APMG ?
  • Mes données sauvegardées dans un cloud suisse ne peuvent-elles vraiment pas être lues par la NSA ou un hacker quelconque ?
  • Mes données stockées sur place, avec des outils de sécurité locaux et quelques collaborateurs locaux pour s’occuper de la sécurité informatique, sont-elles vraiment plus sécurisées que chez un fournisseur de cloud professionnel disposant de spécialistes de haut niveau en matière de sécurité ?

Le fait est que personne ne pourra se soustraire entièrement aux clouds publics dans les prochaines années : leurs avantages au niveau de la fonctionnalité, de la flexibilité et des coûts sont tout simplement des arguments trop puissants.
Dans un rapport publié récemment, le groupe Gartner prédit que 90% des organisations mondiales disposeront d’un environnement hybride de cloud d’ici à 2020 (www.gartner.com/newsroom).

La question n’est donc pas de savoir si nous allons dans le cloud, mais seulement quand et surtout comment. Pour cela, nous devons développer une stratégie pour le cloud adaptée à l’organisation, et surtout une gouvernance. Nous devons trouver des moyens pour comprendre et pouvoir mesurer nos propres capacités, notre appétit pour le risque et nos possibilités de contrôle et les traduire en exigences envers notre partenaire de cloud.

Tout d’abord, nous devons être conscients du fait que la responsabilité de la sécurité dans le cloud est toujours partagée. Le graphique suivant montre l’évolution de la “trust boundary” dans les trois modèles de service du cloud IaaS (Infrastructure as a Service), PaaS (Platform as a Service) et SaaS (Software as a Service).

Le graphique montre qui est responsable de quoi et ce qui peut être fait pour renforcer la confiance mutuelle. Nous voyons donc que dans le modèle de service PaaS, la responsabilité du middleware (y compris le système d’exploitation) incombe au fournisseur tandis que nous restons responsables de l’application. Nous pouvons sécuriser notre application sur la base des Best Practices et des certifications mais nous devons être en mesure d’évaluer le fournisseur au niveau de ses pratiques et exiger et contrôler ses certifications.

La gouvernance du cloud doit être basée sur un modèle de ce genre. Le fournisseur de cloud démontre sa compliance avec des certificats indépendants comme l’ISO 27000; l’organisation utilisatrice est consciente de la responsabilité qui lui incombe et assure la gouvernance correspondante.

Les fournisseurs de cloud prennent leurs devoirs très au sérieux, comme le montre le graphique suivant prenant l’exemple d’Amazon Web Services:

Pour y parvenir, il est possible d’appliquer une série d’outils et de Best Practices que je vais vous présenter brièvement.

COBIT

ISACA, la propriétaire de COBIT 5, a publié “Controls and Assurance in the Cloud using Cobit 5” en 2014, qui décrit comment employer des procédures des structures COBIT 5 et RiskIT pour la gouvernance du cloud. Nous disposons ainsi d’une base solide pour pouvoir nous organiser d’une manière optimale dans l’utilisation du cloud.

De l’autre côté, les deux alliances CSA (Cloud Security Alliance) et EuroCloud StarAudit nous fournissent les outils permettant de contrôler les fournisseurs de cloud. La CSA dispose d’une large base, mais est très tournée vers les Etats-Unis.

CSA

La CSA propose deux outils pour l’examen des fournisseurs de cloud. La Cloud Controls Matrix3 décrit 15 domaines qui peuvent être contrôlés. Pour l’examen proprement dit, elle fournit un formulaire portant sur les points suivants :

  1. Application & Interface Security
  2. Audit Assurance & Compliance
  3. Business Continuity Management & Operational Resilience
  4. Change Control & Configuration Management
  5. Data Security & Information Lifecycle Management
  6. Datacenter Security
  7. Encryption & Key Management
  8. Governance and Risk Management
  9. Human Resources
  10. Identity & Access Management
  11. Infrastructure & Virtualization SecurityInteroperability & Portability
  12. Mobile Security
  13. Supply Chain Management, Transparency, and Accountability
  14. Threat and Vulnerability Management

Elle ne réinvente certes pas la roue en ce qui concerne les contrôles, mais elle s’appuie sur des procédures éprouvées de l’AICPA (American Institute of Certified Public Auditors), de COBIT et de l’ISO.

EuroCloud StarAudit

EuroCloud StarAudit4 poursuit des objectifs semblables, mais se concentre sur l’environnement européen. StarAudit met également des outils, des listes de contrôle et des formations à disposition. L’examen des fournisseurs de cloud se fait dans six domaines :

  1. Cloud Service Provider Profile
  2. Contract and Compliance
  3. Data Security and Data Privacy
  4. Operation DC Infrastructure
  5. Cloud Service Operational Process
  6. Application IaaS, PaaS, SaaS

L’utilisation des services de cloud est une question de confiance qui peut être promue et assurée par des mesures de contrôle appropriées et des examens indépendants. Le développement de Best Practices pour la gouvernance du cloud facilite la prise de décision en faveur du cloud et le choix du bon partenaire. Dans notre monde fortement interconnecté, il n’y aura plus de sécurité à 100%, comme le montrent de nombreux exemples du passé récent. Il est d’autant plus important de nous donner les moyens de prendre des décisions favorables à l’organisation en étant bien informés grâce aux bonnes pratiques, à la formation et à des conseils externes.


Auteur / Autrice

Markus Schweizer

Markus Schweizer est formateur Digicomp, expert ITIL® et Cobit ainsi que consultant en stratégie chez DXC Technology pour toutes les questions de gestion des technologies de l’informatique. Auparavant, il a travaillé pour IBM et PwC et a passé neuf ans aux États-Unis où il a conseillé des grosses entreprises dans le déploiement de concepts de gestion de services. Il est spécialisé en gestion d’entreprises informatique, en numérisation interne, en gouvernance et en SIAM.