L'approche de Microsoft en matière de transparence du cloud

Transcription

1 L'approche de Microsoft en matière de transparence du cloud Utilisation du registre STAR (Security, Trust & Assurance Registry) de la Cloud Security Alliance Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 1

2 L'approche de Microsoft en matière de transparence du cloud Ce document est fourni à titre purement informatif. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE, IMPLICITE OU LÉGALE CONCERNANT LES INFORMATIONS DE CE DOCUMENT. Ce document est fourni «en l'état». Les Informations et les opinions exprimées dans ce document, y compris les URL et les autres références de site Web, peuvent être modifiées sans préavis. Vous l'utilisez en toute connaissance de cause. Copyright 2012 Microsoft Corporation. Tous droits réservés. Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires respectifs. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 2

3 Auteurs Frank Simorjay Informatique de confiance de Microsoft Ariel Silverstone Concise Consulting Aaron Weller Concise Consulting Collaborateurs Kellie Ann Chainier Microsoft, Secteur public Stephanie Dart Microsoft Dynamics CRM Mark Estberg Services de base globaux John Howie Services de base globaux Marc Lauricella Informatique de confiance de Microsoft Kathy Phillips Microsoft, Juridique et entreprise Tim Rains Informatique de confiance de Microsoft Sian Suthers Informatique de confiance de Microsoft Stevan Vidich Windows Azure, Marketing Steve Wacker Wadeware LLC Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 3

4 Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 4

5 Synthèse Le passage au cloud computing représente pour les entreprises une occasion unique de revoir leur mode de fonctionnement. Comme pour le concept d'externalisation, l'alliance des technologies et processus qui définissent le cloud computing actuel permet d'appréhender et d'utiliser les technologies de l'information sous un nouvel angle tout en valorisant les entreprises informatiques. Cette évolution de l'informatique constitue une excellente opportunité pour de nombreuses entreprises, car elle leur permet de réduire ou d'éliminer les besoins en gestion des technologies axées sur les serveurs sur lesquelles reposent leurs processus d'entreprise. Outre le changement de processus et de priorités qu'il implique, ce passage permet aux entreprises de réduire leurs coûts, d'accroître leur souplesse d'adaptation pour répondre rapidement à l'évolution des besoins ainsi que de déployer et suivre plus efficacement leurs ressources. Ce document propose un aperçu des différents cadres et normes relatifs aux risques, à la gouvernance et à la sécurité de l'information. Il présente également le cadre spécifique au cloud de la Cloud Security Alliance (CSA), le registre STAR (Security, Trust & Assurance Registry). Le registre STAR est une ressource particulièrement intéressante pour les entreprises en quête d'une source d'informations fiable pour évaluer les fournisseurs de solutions cloud et tirer le meilleur parti des avantages d'un service cloud. L'engagement de Microsoft envers la transparence se traduit par l'adoption des contrôles STAR relatifs à la gestion de la sécurité, de la confidentialité, de la conformité et des risques ainsi que par les réponses apportées aux exigences de contrôle STAR, dont certaines sont incluses dans ce document. Introduction Le cloud computing permet d'aborder l'informatique comme un service d'utilité publique. Autrement dit, le traitement informatique, le stockage et la bande passante sont gérés par des fournisseurs, comme pour l'électricité ou l'eau. Cette approche constitue une évolution logique de l'informatique pour de nombreuses entreprises. Le cloud computing leur permet de réduire ou d'éliminer les besoins en gestion des technologies axées sur les serveurs sur lesquelles reposent leurs processus d'entreprise, et de se consacrer à leurs activités principales. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 5

6 Le cloud computing permet non seulement aux entreprises de se consacrer à leurs principaux objectifs commerciaux, mais il les aide également à réduire les coûts liés aux technologies de l'information et aux immobilisations, ce qui peut se traduire par une amélioration des résultats pour les parties prenantes. En outre, le cloud computing permet aux entreprises informatiques de répondre aux nouveaux besoins de leurs clients existants en leur fournissant un déploiement rapide et un suivi efficace en termes d'utilisation des ressources. Cette réactivité se répercute directement sur l'agilité de l'entreprise en lui permettant de s'adapter aux nouvelles exigences et de proposer rapidement de nouvelles solutions sur le marché. Le cloud computing permet aux entreprises de tirer parti de l'évolution rapide des technologies ainsi que des opportunités de sécurité, de vitesse, d'évolutivité et de flexibilité qui en découlent sans s'encombrer de solutions sur site. Aujourd'hui, les entreprises sont fréquemment mises au défi de réduire leurs coûts informatiques tout en répondant avec agilité et réactivité aux besoins du marché. Le modèle du cloud computing leur permet de payer uniquement les services dont elles ont besoin. Et grâce à la baisse des dépenses de capital qui en résulte, elles peuvent mobiliser leurs ressources sur leurs objectifs commerciaux. L'agilité inhérente au cloud computing offre un autre avantage, celui de l'évolutivité. À mesure que les besoins des entreprises augmentent et que des fonctionnalités ou ensembles de données sont ajoutés, le cloud computing permet de faire évoluer simplement et rapidement l'environnement. En cas de nécessité de réduction de la capacité de l'environnement informatique, par exemple après un pic saisonnier, celle-ci peut facilement être mise en œuvre sans les effets négatifs qui accompagnent généralement le brusque ralentissement d'un investissement important. L'opportunité offerte par le cloud computing exige de trouver le bon compromis entre avantages d'un transfert des données, du traitement et des capacités vers le cloud et conséquences liées à la sécurité des données, à la confidentialité, à la fiabilité et aux exigences réglementaires. Depuis le lancement de MSN en 1994, Microsoft développe et exécute des services en ligne. Microsoft permet aux entreprises de passer rapidement au cloud computing grâce à des services cloud tels que Windows Azure, Office 365 et Microsoft Dynamics CRM tout en adoptant une approche avant-gardiste vis-à-vis de la sécurité, de la confidentialité et de la fiabilité. Les services cloud de Microsoft, hébergés dans des centres de données Microsoft répartis à travers le monde, sont destinés à offrir les performances, l'évolutivité, la sécurité et les niveaux de service qu'attendent les clients professionnels. Microsoft applique des technologies et processus de pointe pour assurer un accès, une sécurité et Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 6

7 une confidentialité uniformes et fiables à chaque utilisateur. Ces solutions cloud Microsoft sont dotées de fonctionnalités qui facilitent la mise en conformité avec un large éventail de réglementations internationales et exigences de confidentialité. Dans ce document, Microsoft présente les différents cadres relatifs aux risques, à la gouvernance et à la sécurité de l'information ainsi que le cadre spécifique au cloud développé par la Cloud Security Alliance (CSA), à savoir le registre STAR (Security, Trust & Assurance Registry). Ce document présente également les origines et l'évolution du registre STAR, et décrit la façon dont les produits de cloud Microsoft remplissent les exigences de gestion de la sécurité, de la confidentialité, de la conformité et des risques définies dans le registre STAR. Ce livre blanc indique comment les services Microsoft tels que Windows Azure, Office 365 et Microsoft Dynamics CRM s'adaptent aux lignes directrices du registre STAR en matière de contrôles de gestion de la sécurité, de la confidentialité, de la conformité et des risques. Microsoft fournit à ses clients une documentation détaillant ses responsabilités vis-à-vis des applications et données que ceux-ci lui confient. Cette documentation est un outil indispensable pour les entreprises qui sont soumises à des obligations en termes de réglementation et/ou de conformité. Comme pour n'importe quel autre service tiers, il revient au client qui utilise le service de déterminer si celui-ci satisfait ses besoins et obligations. Ce livre blanc traite des principaux services de Windows Azure : services cloud (rôles Web et de travail), stockage (tables, blobs, files d'attente) et réseau (Gestionnaire de trafic et Windows Azure Connect). Il n'aborde pas les autres fonctionnalités de Windows Azure, comme la base de données SQL Windows Azure, les bus des services, Marketplace et la mise en cache. Pour plus d'informations sur Windows Azure, reportezvous à la section «Lectures complémentaires» de ce document. Les services en ligne d'office 365 et Microsoft Dynamics CRM sont exécutés sur une infrastructure cloud fournie par Microsoft et sont accessibles à partir de différents équipements clients. Ce livre blanc suppose que les lecteurs connaissent déjà les concepts de base de Windows Azure ; ceux-ci n'y sont donc pas décrits. Des liens vers des documents décrivant ces concepts fondamentaux sont disponibles sur Technet à la rubrique «Livres blancs Windows Azure». Enjeux relatifs à l'assurance du cloud Une bonne maîtrise de la gestion des risques est indispensable dans le paysage actuel de la sécurité et de la confidentialité de l'information. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 7

8 Lorsque l'on travaille avec des fournisseurs de cloud computing comme Windows Azure et avec des services cloud comme Office 365 et Microsoft Dynamics CRM, l'évaluation des risques doit impérativement tenir compte de la nature dynamique du cloud computing. Lorsqu'une nouvelle initiative est mise en œuvre, les entreprises effectuent généralement une évaluation complète des risques basée sur différents critères. Cette règle s'applique également au cloud computing. Les sections suivantes abordent les principaux critères qui intéressent généralement les entreprises désireuses d'adopter le cloud computing. Sécurité En termes de sécurité, les scénarios de cloud computing doivent tenir compte de nombreuses dimensions. Couches Lors de l'évaluation de l'environnement de contrôle d'une offre de cloud computing, la pile de services du fournisseur de service cloud doit être prise en compte dans son intégralité. Les services d'infrastructure et d'applications peuvent être fournis par plusieurs entreprises, ce qui accroît les risques de dysfonctionnements. La survenue d'un problème sur une des couches de la pile du cloud, ou au niveau du dernier kilomètre de connectivité défini par le client, peut entraver le fonctionnement du service cloud et avoir des conséquences négatives. Par conséquent, les clients doivent évaluer les services proposés par leur fournisseur et appréhender l'infrastructure et les plateformes sous-jacentes des services ainsi que les applications délivrées. Destruction ou suppression sécurisée des données Beaucoup d'entreprises disposent de stratégies exigeant la suppression des données lorsqu'elles deviennent obsolètes ou à l'échéance d'un laps de temps défini. Parfois, ces stratégies exigent une attestation, par exemple sous la forme d'un rapport stipulant que les données ont été détruites via une méthode rendant toute reconstruction impossible. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 8

9 Pour de nombreux fournisseurs de solutions cloud, il est difficile d'attester d'une telle suppression, notamment parce que les données du cloud sont rapidement répliquées et relocalisées sur de nombreux disques, serveurs et centres de données. On peut supposer que ces données sont écrasées à leur emplacement «d'origine» ou antérieur ; pourtant, il demeure souvent possible qu'un processus intrusif déterminé (ou une attaque) récupère ces données. Perte de données Sous sa forme partagée actuelle, le cloud computing est relativement récent, et beaucoup d'entreprises qui le déploient s'interrogent sur la maturité des outils utilisés par les fournisseurs pour héberger et gérer leurs données. Microsoft se distingue des nouveaux arrivants sur le marché grâce à son expérience des plateformes technologiques (Hotmail, MSN, etc.), une expérience de vingt ans dans certains cas. Au-delà du risque classique de perte de données sur les disques durs, l'existence d'outils supplémentaires comme les hyperviseurs, les gestionnaires d'ordinateurs virtuels, les nouveaux environnements d'exploitation et de stockage et les applications à déploiement rapide introduisent de nouveaux facteurs de stabilité et de redondance qui doivent être inclus dans les considérations relatives à la perte de données. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 9

10 Confidentialité Dans le cadre de l'évaluation des risques de sécurité, une analyse de la confidentialité doit être conduite afin d'identifier les risques potentiels pour les données et opérations dans le cloud. La notion de confidentialité ne se limite plus à la description traditionnelle des données des clients puisqu'elle s'étend désormais à la confidentialité d'entreprise, qui englobe la plupart des contraintes de propriété intellectuelle (comment, pourquoi et quand). Compte tenu du nombre croissant d'entreprises fondées sur la connaissance, les valeurs de propriété intellectuelle qu'elles génèrent augmentent. En fait, la valeur de la propriété intellectuelle constitue souvent une part importante de la valeur d'une entreprise. Confidentialité et intégrité De même, les préoccupations relatives à la confidentialité (personnes ayant accès aux données) et à l'intégrité (personnes autorisées à modifier les données) doivent impérativement être prises en compte dans toute évaluation. Généralement, plus le nombre de points d'accès aux données est important, plus le processus de création du profil de risque est compliqué. Tandis que de nombreux cadres réglementaires mettent l'accent sur la confidentialité, d'autres, comme la loi Sarbanes-Oxley, se concentrent presque exclusivement sur l'intégrité des données utilisées pour produire des rapports et relevés financiers. Fiabilité Dans la plupart des environnements de cloud computing, le flux de données qui achemine les informations vers et depuis le cloud doit être pris en compte. Plusieurs opérateurs sont parfois impliqués, et l'accès en aval de l'opérateur doit souvent être évalué. Par exemple, une panne au niveau d'un fournisseur de services de communications peut provoquer des retards et nuire à la fiabilité des données et services basés sur le cloud. Tout fournisseur de services supplémentaire doit être évalué pour déterminer les risques potentiels. Audit, assurance et attestation Nombreuses sont les entreprises qui disposent d'une certaine expérience en matière d'activités traditionnelles de déploiement d'applications et de données, comme l'audit et les évaluations. Dans le cadre d'un déploiement de cloud, le besoin de certaines de ces activités devient encore plus criant alors même que les activités proprement dites sont de plus en plus complexes. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 10

11 Le concept de cloud, notamment lors du déploiement d'un cloud public, implique l'absence de contrôle physique de la part de l'entreprise propriétaire des données. Des contrôles physiques doivent être envisagés pour protéger les disques durs, les systèmes et même les centres de données où résident les données. Cette règle s'applique également aux environnements logiciels dans lesquels des composants de services cloud sont déployés. En outre, l'obtention d'autorisations destinées à satisfaire les exigences de tests de résilience, de tests de pénétration et d'analyses régulières des vulnérabilités peut être un véritable défi lors du déploiement d'un cloud. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 11

12 De plus, il est parfois très difficile de satisfaire les exigences liées à une validation indépendante des contrôles. Les fournisseurs de solutions cloud hésitent généralement à approuver certains types de tests dans une infrastructure partagée en raison de l'impact que peuvent avoir ces tests sur les autres clients. La plupart des entreprises désireuses de déployer un cloud ignorent comment évaluer les risques ou comment choisir un fournisseur de solutions cloud capable de limiter les risques. Certains cadres réglementaires exigent un audit. Les clients des solutions cloud sont souvent confrontés à des défis qui menacent ou semblent réfuter les nombreux avantages de l'adoption et du déploiement d'un cloud. Avantages des cadres standardisés Le déploiement et la gestion des technologies de cloud computing n'entrent généralement pas dans le cadre des compétences de base des entreprises qui adoptent le cloud computing. Compte tenu des risques potentiels (risques courants ou spécifiques au cloud), les entreprises comptent souvent sur des cabinets de conseil extérieurs et sur les réponses tardives aux appels d'offres des fournisseurs de solutions cloud pour évaluer les risques inhérents à leurs besoins spécifiques en matière de déploiement de cloud. Ces réponses doivent être évaluées par des professionnels expérimentés du cloud, ainsi que par des experts internes du risque, afin d'identifier les véritables risques encourus par l'entreprise. Cette évaluation doit notamment déterminer les risques inhérents à l'adoption de ces technologies ainsi que les moyens de les limiter. Le choix du partenaire de déploiement du cloud intervient souvent dans un climat d'intense pression commerciale pour réduire les coûts et améliorer la flexibilité. Dans un tel climat, un processus de gestion des risques qui s'éternise peut être perçu comme un frein, et non comme un accélérateur, pour les objectifs commerciaux. Meilleures pratiques L'inquiétude et la complexité liées au choix d'un fournisseur de solutions cloud peuvent être atténuées grâce à l'utilisation d'un cadre de contrôles commun. Un tel cadre doit à la fois prendre en compte les meilleures pratiques de sécurité de l'information tout en intégrant une compréhension et une évaluation véritables des considérations et risques spécifiques au déploiement d'un cloud. Ce cadre doit également identifier la majeure Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 12

13 partie des coûts liés à l'évaluation de solutions alternatives et permettre une bonne gestion des risques qui doivent par ailleurs être pris en compte. Complexité Un cadre de contrôles spécifique au cloud, tel que l'outil CCM (Cloud Controls Matrix - Matrice de contrôle cloud), réduit les risques de voir une entreprise passer à côté des facteurs les plus importants lors du choix d'un fournisseur de solutions cloud. Les risques sont également atténués si l'entreprise sait à la fois s'appuyer sur les connaissances acquises par les experts qui ont créé le cadre et tirer parti des efforts des autres entreprises, groupes et experts de manière intelligente et réfléchie. De plus, un cadre industriel efficace sera régulièrement mis à jour pour s'adapter à l'évolution des technologies en se basant sur l'expérience des experts qui ont analysé les différentes approches. Comparaison Pour les entreprises qui ne disposent pas des connaissances suffisantes pour comprendre les offres de développement ou de configuration des différents fournisseurs de solutions cloud, le recours à un cadre entièrement développé peut être utile afin de comparer des offres similaires et faire la distinction entre les fournisseurs. Un cadre peut également aider à déterminer si une offre de services spécifique satisfait ou anticipe les exigences de conformité et/ou les normes appropriées. Audit et base de connaissances L'utilisation d'un cadre reconnu permet de renouveler la documentation détaillant le pourquoi et le comment des décisions qui ont été prises ainsi que d'identifier et de comprendre les facteurs qui ont pesé davantage dans la balance. Le fait de comprendre pourquoi une décision a été prise peut fournir une base de connaissances très utile pour les futures décisions, notamment lorsque des membres du personnel sont remplacés par d'autres et que les décisionnaires d'origine ne sont donc plus disponibles. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 13

14 Évolution des normes de sécurité Lors de la sélection d'un fournisseur de cloud computing, les entreprises étaient autrefois contraintes de choisir la norme et le cadre à appliquer parmi des cadres établis dans un environnement antérieur au cloud computing. Parmi les cadres les plus communément utilisés en matière de risques, de contrôles et de sécurité de l'information figurent les normes de la famille publiées par l'organisation internationale de normalisation et la Commission électrotechnique internationale (ISO/CEI) ; le COBIT, cadre dédié à la gouvernance et à la gestion de l'informatique d'entreprise, publié par l'information Systems Audit and Control Association (ISACA) ; les normes de la série SP800 publiées par l'u.s. National Institute of Standards and Technology (NIST) et quelques autres. Les normes de la famille de l'organisation internationale de normalisation / Commission électrotechnique internationale (ISO/CEI) Les normes de la famille ISO englobent des cadres de référence comptant parmi les plus connus du monde en matière de sécurité de l'information. La norme britannique BS définissait les codes de bonne pratique relatifs à la gestion de la sécurité de l'information. Elle a ensuite été remplacée par la norme ISO/CEI en 2000, puis par la norme ISO en La version actuelle, ISO 27002:2005, est aujourd'hui la référence en matière de mise en œuvre des cadres de gestion de la sécurité de l'information. La norme ISO/CEI 27001, issue de la norme BS , décrit les exigences relatives à la mise en œuvre, à la surveillance, à la gestion et à l'optimisation en continu d'un SMSI (système de management de la sécurité de l'information). Elle utilise le cadre PDCA (Plan-Do-Check-Act) de la norme ISO/CEI. Les entreprises peuvent recevoir la certification ISO/CEI 27001, comme l'a fait Microsoft avec Windows Azure (services principaux) et plusieurs autres services en ligne Microsoft (identifiés plus loin dans cette section), ce qui a conduit à l'adoption de la norme ISO/CEI par les entreprises désireuses de valider leurs efforts de sécurisation de l'information auprès de leurs clients, des organismes de réglementation ou autres parties prenantes extérieures. Aujourd'hui, la famille de normes s'est agrandie pour englober les normes suivantes : Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 14

15 ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information Vue d'ensemble et vocabulaire ISO/CEI 27001:2005, Systèmes de management de la sécurité de l'information Exigences ISO/CEI 27002:2005, Code de bonne pratique pour la gestion de la sécurité de l'information ISO/CEI 27003, Guide de mise en œuvre des systèmes de management de la sécurité de l'information ISO/CEI 27004, Gestion de la sécurité de l'information Mesures ISO/CEI 27005:2008, Gestion des risques relatifs à la sécurité de l'information ISO/CEI 27006:2007, Exigences pour les organismes procédant à l'audit et à la certification Les normes de la famille ISO/CEI 27000, en particulier les normes ISO/CEI 27002, englobent les normes les plus communément reconnues en matière de gestion actuelle de la sécurité de l'information. ISO/CEI 27007:2011, Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information ISO/CEI 27031:2011, Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité Windows Azure, Microsoft Dynamics CRM, Office 365 et la couche d'infrastructure sousjacente GFS (Global Foundation Services) utilisent des cadres de sécurité basés sur la norme ISO/CEI 27001:2005. Les services principaux de Windows Azure (services cloud, stockage et réseau), Microsoft Dynamics CRM et Office 365 sont certifiés ISO En outre, l'infrastructure GFS sur laquelle s'exécutent Windows Azure (sauf CDN) ainsi que Office 365 et Microsoft Dynamics CRM est certifiée ISO Il n'existe pas de processus de certification ISO/CEI Pour autant, la norme propose différents contrôles adaptés pour un système de gestion de la sécurité l'information, documenté en Annexe A de la norme ISO/CEI Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 15

16 L'infrastructure de sécurité Microsoft, basée sur la norme ISO/CEI 27001, permet aux clients d'évaluer la manière dont Microsoft satisfait ou dépasse les normes et les directives de mise en œuvre en matière de sécurité. En outre, Windows Azure et l'infrastructure GFS font chaque année l'objet d'audits selon la norme SAS (Statement on Auditing Standards) No. 70 (SAS 70 Type II ou son successeur, SSAE16 et ISAE 3402). La Stratégie de sécurité relative aux informations, qui s'applique aux offres de cloud Microsoft, est également conforme à la norme ISO/CEI et renforcée par les exigences spécifiques à ces offres de Cloud Microsoft. Des liens vers les copies publiques des certifications FOPE ISO de Windows Azure, Microsoft Dynamics CRM et Office 365 sont disponibles à la section «Lectures complémentaires» du présent document. COBIT Le cadre de la technologie COBIT (Control Objectives for Information and related Technology) est une norme bien pensée et généralement acceptée qui a été publiée pour aider les entreprises à évaluer les risques en matière de technologie de l'information. Initialement publiée en 1996 et actuellement à sa cinquième révision (datant de 2012), le COBIT est publié par l'it Governance Institute, affilié à l'isaca (Information Systems Audit and Control Association). Comparée à la précédente version (4.1, publiée en 2007) organisée en 34 processus de haut niveau et 215 objectifs de contrôle détaillés, la nouvelle version présente des différences. Pour la version 5 du COBIT, l'isaca a choisi de diviser le document en 37 processus de haut niveau et 17 objectifs. Le COBIT est conçu pour faire le lien entre gestion et contrôle, d'une part et risques techniques et commerciaux, d'autre part. Pour plus d'informations sur le COBIT, reportez-vous à la section «Lectures complémentaires» du présent document. Le COBIT constitue un outil particulièrement utile pour mettre en corrélation des normes disparates telles que les normes ITIL (Information Technology Infrastructure Library), CMMi (Capability Maturity Model Integration) et ISO Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 16

17 NIST Special Publication (SP) - Série 800 Le NIST (National Institute of Standards and Technology) publie différentes normes destinées aux administrations publiques et départements américains. La plus importante de ces normes est la série SP800, qui se concentre sur la sécurité et la confidentialité. Le NIST est à l'origine de la définition globalement acceptée du cloud computing, désormais publiée en tant que Projet SP Ce projet de publication a été soumis à l'organisme de normalisation ISO/CEI afin d'être inclus dans la prochaine norme internationale. La série SP800 englobe également la norme SP800-53, qui définit les contrôles de sécurité à mettre en œuvre en matière de solutions informatiques pour répondre aux exigences du FISMA (Federal Information Security and Management Act). Ces contrôles sont aussi présents dans le FedRAMP (Federal Risk and Authorization Management Program), un programme du gouvernement américain offrant une approche normalisée en matière d'évaluation, d'autorisation et de surveillance de la sécurité des produits et services de cloud. Microsoft a obtenu la norme ATO (Moderate Authorization to Operate) du FISMA pour GFS et Office 365. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 17

18 Présentation du registre STAR Face à l'émergence du cloud computing et de son impressionnant potentiel, reconnu par le plus grand nombre, à aider les entreprises à créer, gérer et maintenir des outils de croissance, il apparaît désormais clair que les normes existantes, comme abordé à la précédente section, ne sont plus systématiquement efficaces pour répondre aux problèmes liés à la mise en œuvre rapide et à l'utilisation commerciale de cette technologie performante. La Cloud Security Alliance (CSA) et le registre STAR La Cloud Security Alliance (CSA) est une organisation à but non lucratif dont le but consiste à promouvoir l'utilisation de bonnes pratiques pour garantir la sécurité dans les environnements de cloud computing. Afin de réduire les efforts, l'ambiguïté et les coûts inhérents aux questions et informations les plus pertinentes en matière de pratiques liées à la sécurité et à la confidentialité des fournisseurs de solutions de cloud, la CSA publie et gère le registre STAR (Security, Trust & Assurance Registry). Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 18

19 Cloud Controls Matrix (CCM) Le registre STAR utilise l'outil CCM (Cloud Controls Matrix) pour offrir un cadre de contrôles afin de comprendre les concepts ainsi que les principes de sécurité, de confidentialité et de fiabilité basés sur les conseils de la Cloud Security Alliance et ce, dans 13 domaines. Ce document utilise la version 1.2 de l'outil CCM, la version actuelle, qui comprend une liste de 100 questions. L'outil CCM de la CSA offre aux entreprises un cadre doté de la structure, des détails et de la clarté nécessaires en matière de sécurité des informations, un cadre adapté aux fournisseurs de services du secteur du cloud. Domaines du registre STAR Le registre STAR utilise les 13 domaines suivants pour répondre aux questions de sécurité liées au cloud computing Cadre architectural du cloud computing Gouvernance et gestion des risques pour l'entreprise Découverte légale et électronique Conformité et audit Gestion du cycle de vie des informations Portabilité et interopérabilité Sécurité traditionnelle, continuité d'activité et récupération d'urgence Opérations du centre de données Réponse aux incidents, notification et résolution Sécurité des applications Chiffrement et gestion des clés Gestion des identités et des accès Virtualisation Les fournisseurs peuvent choisir d'envoyer un rapport documentant leur conformité avec l'outil CCM, rapports par ailleurs publiés par STAR. Proposé par la Cloud Security Alliance à l'adresse le registre STAR est un «registre public accessible qui documente les contrôles de sécurité fournis par diverses solutions de cloud computing et qui aide les utilisateurs à évaluer la sécurité des fournisseurs de solutions cloud auxquels ils font appel ou auxquels ils envisagent de faire appel». Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 19

20 Les consommateurs de services cloud peuvent utiliser les données contenues dans le registre STAR pour évaluer les fournisseurs et identifier les questions à leur poser avant d'adopter leurs services cloud. (STAR est un processus d'auto-évaluation des fournisseurs de cloud et la CSA ne vérifie ni ne garantit les réponses fournies. En plus de se pencher sur les 100 questions de l'outil CCM du registre STAR, Microsoft a choisi d'aligner les domaines sur les certifications ISO obtenues par divers services Microsoft afin d'offrir un niveau de confort supplémentaire aux consommateurs de services cloud. ) Microsoft a publié une présentation de ses capacités à répondre aux exigences de l'outil CCM. L'objectif de cette présentation du registre STAR consiste à fournir aux clients les informations nécessaires à l'évaluation des offres Microsoft. Informatique de confiance L'approche de Microsoft en matière de transparence du cloud 20