Normes sécurité dans le cloud : à quel saint se vouer ?

Le marché du cloud computing ne connaît pas la crise, et devrait représenter selon le cabinet Gartner l’essentiel des investissements informatiques dans le monde d’ici 2016. Pourtant, ce n’est un secret pour personne, beaucoup d’entreprises, même de grande taille, hésitent encore à basculer massivement dans le cloud. Pour expliquer ces hésitations, le fait que la sécurité figure en tête des préoccupations n’est pas non plus une surprise. D’après une étude mondiale menée par BT en 2014, la sécurité est la préoccupation principale des grandes organisations qui utilisent des services cloud. Près de la moitié d’entre elles admettent être très inquiets ou extrêmement inquiets des implications de sécurité entourant le cloud.
 
Le problème ne tient pas tant à la sécurité du cloud qu’à ce qu’en savent les utilisateurs. Ceux-ci doivent avoir l’assurance que leur fournisseur de cloud est digne de confiance, et a mis en place toutes les mesures nécessaires pour garantir la sécurité de leurs données et de leurs applications. Pour obtenir cette confiance, rien de mieux que des normes et des standards de sécurité qui s’imposent à tout le monde.
 
Une normalisation incomplète et confuse
 
Or dans ce domaine, la situation actuelle n’est pas d’une clarté limpide. Plutôt qu’une seule norme reconnue par tous, les entreprises en ont toute une série à leur disposition. Entre les normes ISO/IEC, le référentiel de l’ANSSI, le Label Cloud de France IT, le référentiel Cloud Confidence et le nouveau label « européen » Secure Cloud récemment lancé, sans parler des diverses normes américaines, difficile de s’y retrouver !
 
Le fait que des normes apparaissent est certes une bonne nouvelle, car cela témoigne de la volonté de la part de l’industrie de s’entendre sur des règles de sécurité communes. L’administration française joue d’ailleurs un rôle actif dans ce domaine. Mais cette normalisation reste incomplète et surtout confuse.
 

Lire la suite