Prestataires de services d’informatique en nuage

Prestataires de services d’informatique en nuage

L’approche consistant à contractualiser au cas par cas la  sécurité  dans  chaque  projet  de  mise  en  nuage

Montre ses limites, les offres étant le plus souvent packagées ; de plus, il est également illusoire d’inciter chaque client à procéder à des audits réguliers des services offerts.

Une approche unifiée autour d’un référentiel a été préférée, favorisant ainsi l’émergence et la promotion d’offres qualifiées, les offreurs disposant d’un cadre stable dans  lequel  s’inscrire  pour  aller  vers  la qualification et les usagers pouvant baser leur confiance sur cette qualification.

Le référentiel de qualification de prestataires proposant une offre de  services  en  nuage  couvre  les  trois types d’activité (SaaS, PaaS et IaaS).

Les exigences, déclinées en 19 chapitres, sont relatives au prestataire et portent notamment sur le contrôle d’accès et gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de  l’information.  Ces exigences seront vérifiées par  une  évaluation  documentaire, organisationnelle, physique et technique des processus, infrastructures et lieux liés à la prestation visée par la qualification.

La gestion de l’authentification des utilisateurs (administrateurs, etc.) doit  être  réalisée  dans  le cadre d’un processus formel. A cet effet, le prestataire de service en nuage doit établir :

- des  procédures  d’émission,  de  modification  et  de  réémission des facteurs d’authentification (certificats, mots de passe, etc.).

- des moyens d’authentification et d’autorisation permettant une authentification à multiples facteurs.

- Les systèmes qui génèrent les mots de passe ou vérifient leur robustesse doivent respecter

les recommandations de l’ANSSI.

- Dans  les  cas  où  la  gestion  des authentifications n’est pas du ressort du prestataire,  ce dernier doit la contractualiser.

Le prestataire de services d’informatique en nuage qualifié garde la faculté de réaliser des prestations de services  en  dehors  du  périmètre  pour lequel  il est qualifié,  mais  ne  peut,  dans  ce  cas,  se  prévaloir  de  la qualification sur ces prestations.

Une  prestation  qualifiée  peut  être  associée à  d’autres  prestations  complémentaires  (développement, intégration de produits de sécurité, etc.) sans perdre le bénéfice de la qualification.

Le prestataire doit définir le périmètre qu’il souhaite qualifier et établir la liste des exigences  

applicables en accord avec le périmètre retenu.

Le prestataire doit déterminer le niveau de sécurité visé pour sa qualification.

Pourquoi le gouvernement souhaite que les prestataire de cloud computing soient accrédité ?

Les prestataires de cloud computing doivent être accrédite pour le gouvernement pour faciliter la régularisation et le contrôle. Egalement pour que les entreprises fasse plus confiance aux sociétés de prestataires.

...