La création de CloudAudit

Celle-ci vise à élaborer des normes concernant la manière dont les fournisseurs de cloud computing communiquent aux entreprises clientes potentielles ou existantes les informations leur permettant de respecter les exigences de conformité et de gouvernance interne.

Les grands fournisseurs de cloud computing, notamment Amazon.com Inc., Google Inc., Microsoft, Unisys, Rackspace U.S. Inc. et d’autres, prennent part à ce groupe, selon Hoff, mais cela ne signifie pas nécessairement qu’ils s’engagent de manière générale à prendre en charge les spécifications publiées à ce jour. Quoi qu’il en soit, les observateurs dans l’initiative CloudAudit, laquelle collabore étroitement avec la CSA (Cloud Security Alliance), peuvent potentiellement normaliser la manière dont les informations sont partagées par les fournisseurs de cloud computing.

« Les fournisseurs de cloud computing, en particulier les plus grands, croulent sous les demandes d’informations d’audit car le niveau d’abstraction qu’ils apportent, en vertu de leur définition du service, signifie dans de nombreux cas une diminution de la transparence et de la visibilité. Cela entraîne un besoin encore plus important d’obtenir des réponses à ces questions », indique Hoff. « Dans la mesure où ils sont noyés, il serait clairement de bon ton d’avoir une manière normalisée de répondre une fois à ces questions et de le faire dynamiquement, en fournissant autant que faire se peut des informations liées à ces infrastructures et questions de conformité et en mettant ces réponses de manière sécurisée à la disposition des consommateurs dûment autorisés desdites informations », ajoute Hoff. « Il peut s’agir de personnes cherchant à évaluer votre service, du consommateur, des auditeurs ou des équipes de sécurité, ou encore de régulateurs, voire de votre propre personnel d’exploitation. »

CloudAudit utilise la matrice Cloud Controls Matrix publiée récemment par la CSA. Cette infrastructure est constituée de 98 contrôles qui spécifient la manière dont les fournisseurs de cloud computing doivent publier les directives détaillées sur les méthodologies d’audit des services et d’appréciation des risques.

« Les personnes chargées de la gestion des risques, de la gouvernance et de la conformité doivent être bien familiarisées avec cette infrastructure », déclare Jim Reavis, fondateur et directeur général de la CSA.

Le groupe CloudAudit est en train de développer une API et un espace de nommage communs, sous l’intitulé A6 (Automated Audit, Assertion, Assessment and Assurance API), afin que les fournisseurs de cloud computing puissent proposer, à destination de leurs clients, des données liées aux audits sur leurs environnements d’infrastructure, de plate-forme et d’application, selon Michael Versace, CISSP et partenaire du projet Wikibon.

« Par exemple, si vous souhaitez vous abonner au service Microsoft Windows Azure ou devenir un client Amazon EC2, vous souhaiterez consulter un rapport SAS 70 [Statement on Auditing Standards No. 70] de ce fournisseur », explique Versace. Le type de service de cloud que vous allez souscrire, à savoir infrastructure, plate-forme ou application, va avoir une incidence sur le type de rapport dont vous avez besoin.

« La conformité constitue le facteur numéro 1 concernant la sécurité des informations et les audits représentent le moyen de réaliser cette conformité », déclare Reavis. « Il s’agit d’une question plus importante que les préoccupations spécifiques sur les risques du cloud, car nous savons qu’aucun type de système informatique et aucun type d’ordinateur n’est imperméable au piratage. »