Cloud, la transparence comme objectif

la loi HIPAA (Health Insurance Portability and Accountability Act), la spécification de l’industrie des cartes de paiement sur les modalités d’acceptation des paiements par carte de crédit sur le cloud, ou encore certaines des normes d’audit clés de l’Organisation internationale de normalisation (ISO). Elle est aussi constituée de contrôles à granularité plus fine, notamment concernant les modalités de configuration des pare-feux ou encore de cryptage et de sauvegarde des données.

« Nous avons traduit tout cela en termes de savoir comment nous allions obtenir les données », explique Doug Barbin, directeur de SAS 70 Solutions Inc., une société qui réalise des audits de conformité pour les fournisseurs de cloud computing.

La manière la plus courante pour les fournisseurs de partager les données avec leurs clients passe par des rapports d’audit, selon Barbin. En général, si vous avez une question particulière concernant un fournisseur de cloud computing existant ou potentiel, vous devez lire un document afin de trouver la réponse à la question, en supposant que le fournisseur a divulgué ces informations.

« L’idée avec CloudAudit n’était pas d’aboutir à un nouvel ensemble de normes, mais de trouver une autre manière pour ces sociétés de partager ces données, afin que les personnes qui en ont besoin puissent les obtenir plus rapidement », indique Barbin. « Il peut s’agir de prospects, de clients ou d’auditeurs. Il peut y avoir une multitude de cas d’utilisation, mais cela permet d’alléger le travail de consultation de la documentation afin de déterminer si un fournisseur de services propose un contrôle particulier. »

Une plus grande transparence est critique pour de nombreuses structures qui envisagent de déployer des données sur le cloud, indique Versace. « Si leurs données ou leurs applications veulent pouvoir vivre sur le cloud, ils veulent que leur environnement soit aussi transparent que possible », déclare-t-il. « Ils ont besoin de comprendre qui utilise les données, la manière dont elles le sont et comment les niveaux de service sont respectés. »

Bien que l’initiative CloudAudit soit sur les rails depuis un an, elle a pris de la vitesse depuis mars, lorsque le groupe a instauré des réunions hebdomadaires. Pourtant, elle est encore en phase de rodage et, dans les mois à venir, CloudAudit va se mettre plus en avant par une formalisation du processus.

« CloudAudit n’a absolument rien d’une entité légale. Il s’agit d’une organisation à visée normative », explique Versace. « Elle regroupe des experts qui se sont retrouvés autour de l’idée suivante : un des chaînons manquants vers le cloud est la possibilité de collecter des données d’exploitation et d’audit cohérentes auprès de votre fournisseur de cloud computing, ce afin que vous puissiez prendre des décisions élémentaires de gestion des risques. »

Ceci étant dit, CloudAudit va soumettre la version 1 de ses spécifications à l’IETF (Internet Engineering Task Force) en tant que RFC (request for comment), et le groupe étudie actuellement les moyens de formaliser ses efforts et de développer ses spécifications.