Cloud
Deux livres blancs sur la sécurité du cloud
Par La rédaction, publié le 24 octobre 2011
Alors que la Cnil entame une démarche visant la protection des données dans le cloud computing, Syntec et l’Anssi proposent deux documents censés accompagner les entreprises dans leurs démarches.
Contre toute attente, le document publié par Syntec ne s’adresse pas exclusivement aux responsables sécurité. Il est censé « privilégier une approche pratique en ayant pour objectif d’apporter des réponses simples et concrètes aux décideurs ». Pas question donc de parler mécanique, mais plutôt de tactique. Après une liste exhaustive des risques liés à l’usage du cloud computing, le Syntec dresse une cartographie complète des différentes contraintes auxquelles doit se soumettre tout bon prestataire. On parle d’abord de sécurité physique. Car, s’il y a eu dématérialisation d’un côté, il faut s’assurer, de l’autre, que la qualité de l’hébergement est au rendez-vous (accès aux locaux, incendie, etc.).
Un plan d’assurance sécurité
Des recommandations agrémentées de bonnes pratiques. Par exemple, il est conseillé de découper les locaux informatiques en zones de sécurité concentriques et de regrouper le matériel le plus sensible dans les zones les mieux protégées. Indubitablement, s’ensuit une série de prescriptions et de conseils avisés liés à la protection logique. Cette fois, sans fournir d’explications techniques, Syntec énonce de façon dogmatique les exigences vis-à-vis du prestataire : disques virtuels de taille fixe, gestion des droits d’accès aux fichiers sur ces mêmes disques, mémoire allouée aux machines virtuelle décidée par le client, etc.
L’Anssi va un peu plus loin en proposant la rédaction d’un document baptisé pour l’occasion : « Plan d’assurance sécurité » (Pas). Il doit, selon l’agence, être réclamé au moment de l’appel d’offres. Au travers de onze préceptes, l’entreprise peut ainsi poser les bases des règles de sécurité que le prestataire devra s’engager à suivre. Notamment, en toute fin, après avoir balayé la valeur juridique du Pas, il est question de la documentation permettant d’assurer le suivi des consignes de sécurité.