Voici 5 documents que je considère comme des "références" dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l'externalisation des systèmes d'information).
Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l'anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance.
#1 - ANSSI - Maitriser les risques de l'infogérance - (En français - 56 pages)
Le premier c'est le "Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maitriser les risques" de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui nous propose un document très didactique.L'approche prise est clairement d'accompagner le lecteur/lectrice vers une démarche de prise en compte de la sécurité dans un projet d'externalisation d'un système d'information. A noter une section relative à la définition d'un PAS (Plan d'Assurance Sécurité) et comment contractualiser des engagements de sécurité.
#2 - Syntec Numérique - Livre Blanc sécurité du Cloud Computing - (En français - 24 pages)
Le second c'est celui du Syntec Numérique "Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques".Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du Cloud, l'approche du Syntec Numérique prends le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données.
Le document est d'une lecture aisée car il évite un formalisme trop guindé, c'est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet.
#3 - Cloud Security Alliance - Security Guidance for Critical Areas of Cloud Computing v3.0 - (En anglais - 177 pages)
Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide "Security Guidance for Critical Areas of Cloud Computing Version 3.0" est une "référence-de-référence" pour tout professionel du domaine.Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche ? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous.
Ce n'est que la partie hébergée de l'iceberg : la Cloud Security Alliance propose bien d'autres documents. Mon conseil : allez fouiller sur leur site, vous ne serez pas déçu(e) !
#4 - ENISA, Cloud Computing Risk Assessment - (En anglais - 125 pages)
Le 4ième document est celui de l'ENISA, agence Européenne spécialisée dans la sécurité des systèmes d'information. Dans leur document "Cloud Computing, Benefits, risks and recommendations for information security", l'ENISA nous propose une vision axée sur les risques liés aux cloud computing. C'est le document le plus complet de tous sur l'approche "risques". Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées.Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants.
#5 - PCI DSS - Virtualization Guidelines v2.0 (En anglais - 39 pages)
Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c'est que les règles (ou "objectifs de sécurité") sont précis et connus d'avance. Le niveau d'exigence est clairement fort.Le guide "PCI-DSS - Information Supplement: PCI DSS Virtualization Guidelines" explicite de façon claire et précise ce qu'il convient de mettre en place au niveau d'une couche de virtualisation. Pour savoir que faire pour sécuriser notre hyperviseur c'est le document qu'il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels.
mes deux préférés
Sur ces 5 documents de référence, les deux préférés sont celui de la Cloud Security Alliance et celui de l'ANSSI. Le guide de la Cloud Security Alliance concentre "l'état de l'art" dans le domaine de la sécurité du cloud computing ; celui de l'ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d'un service de cloud computing.
et ce n'est pas fini : quels sont vos documents de prédilection ?
J'ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d'autres comme les documents du NIST, ceux de la NSA et j'en passe....
Quels sont les documents que vous considérez comme "de référence" ? C'est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne.
© Giuseppe Porzani - Fotolia.com