> Tech > La création de CloudAudit

La création de CloudAudit

Tech - Par iTPro - Publié le 21 septembre 2011
email


Christopher Hoff, directeur de la division Cloud and Virtualization Solutions for Data Center Solutions chez Cisco Systems Inc, s’intéresse à cette question depuis des années. C’est la raison pour laquelle il a pris la tête d’une initiative intitulée CloudAudit. Celle-ci vise à élaborer des normes concernant la

manière dont les fournisseurs de cloud computing communiquent aux entreprises clientes potentielles ou existantes les informations leur permettant de respecter les exigences de conformité et de gouvernance interne.

Les grands fournisseurs de cloud computing, notamment Amazon.com Inc., Google Inc., Microsoft, Unisys, Rackspace U.S. Inc. et d’autres, prennent part à ce groupe, selon Hoff, mais cela ne signifie pas nécessairement qu’ils s’engagent de manière générale à prendre en charge les spécifications publiées à ce jour. Quoi qu’il en soit, les observateurs dans l’initiative CloudAudit, laquelle collabore étroitement avec la CSA (Cloud Security Alliance), peuvent potentiellement normaliser la manière dont les informations sont partagées par les fournisseurs de cloud computing.

« Les fournisseurs de cloud computing, en particulier les plus grands, croulent sous les demandes d’informations d’audit car le niveau d’abstraction qu’ils apportent, en vertu de leur définition du service, signifie dans de nombreux cas une diminution de la transparence et de la visibilité. Cela entraîne un besoin encore plus important d’obtenir des réponses à ces questions », indique Hoff. « Dans la mesure où ils sont noyés, il serait clairement de bon ton d’avoir une manière normalisée de répondre une fois à ces questions et de le faire dynamiquement, en fournissant autant que faire se peut des informations liées à ces infrastructures et questions de conformité et en mettant ces réponses de manière sécurisée à la disposition des consommateurs dûment autorisés desdites informations », ajoute Hoff. « Il peut s’agir de personnes cherchant à évaluer votre service, du consommateur, des auditeurs ou des équipes de sécurité, ou encore de régulateurs, voire de votre propre personnel d’exploitation. »

CloudAudit utilise la matrice Cloud Controls Matrix publiée récemment par la CSA. Cette infrastructure est constituée de 98 contrôles qui spécifient la manière dont les fournisseurs de cloud computing doivent publier les directives détaillées sur les méthodologies d’audit des services et d’appréciation des risques.

« Les personnes chargées de la gestion des risques, de la gouvernance et de la conformité doivent être bien familiarisées avec cette infrastructure », déclare Jim Reavis, fondateur et directeur général de la CSA.

Le groupe CloudAudit est en train de développer une API et un espace de nommage communs, sous l’intitulé A6 (Automated Audit, Assertion, Assessment and Assurance API), afin que les fournisseurs de cloud computing puissent proposer, à destination de leurs clients, des données liées aux audits sur leurs environnements d’infrastructure, de plate-forme et d’application, selon Michael Versace, CISSP et partenaire du projet Wikibon.

« Par exemple, si vous souhaitez vous abonner au service Microsoft Windows Azure ou devenir un client Amazon EC2, vous souhaiterez consulter un rapport SAS 70 [Statement on Auditing Standards No. 70] de ce fournisseur », explique Versace. Le type de service de cloud que vous allez souscrire, à savoir infrastructure, plate-forme ou application, va avoir une incidence sur le type de rapport dont vous avez besoin.

« La conformité constitue le facteur numéro 1 concernant la sécurité des informations et les audits représentent le moyen de réaliser cette conformité », déclare Reavis. « Il s’agit d’une question plus importante que les préoccupations spécifiques sur les risques du cloud, car nous savons qu’aucun type de système informatique et aucun type d’ordinateur n’est imperméable au piratage. »

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 21 septembre 2011