Prestataires de services d’informatique en nuage
Cours : Prestataires de services d’informatique en nuage. Recherche parmi 300 000+ dissertationsPar Pierre Sornet • 29 Septembre 2017 • Cours • 495 Mots (2 Pages) • 572 Vues
Prestataires de services d’informatique en nuage
L’approche consistant à contractualiser au cas par cas la sécurité dans chaque projet de mise en nuage
Montre ses limites, les offres étant le plus souvent packagées ; de plus, il est également illusoire d’inciter chaque client à procéder à des audits réguliers des services offerts.
Une approche unifiée autour d’un référentiel a été préférée, favorisant ainsi l’émergence et la promotion d’offres qualifiées, les offreurs disposant d’un cadre stable dans lequel s’inscrire pour aller vers la qualification et les usagers pouvant baser leur confiance sur cette qualification.
Le référentiel de qualification de prestataires proposant une offre de services en nuage couvre les trois types d’activité (SaaS, PaaS et IaaS).
Les exigences, déclinées en 19 chapitres, sont relatives au prestataire et portent notamment sur le contrôle d’accès et gestion des identités, la cryptologie, la sécurité liée à l’exploitation et la gestion des incidents liés à la sécurité de l’information. Ces exigences seront vérifiées par une évaluation documentaire, organisationnelle, physique et technique des processus, infrastructures et lieux liés à la prestation visée par la qualification.
La gestion de l’authentification des utilisateurs (administrateurs, etc.) doit être réalisée dans le cadre d’un processus formel. A cet effet, le prestataire de service en nuage doit établir :
- des procédures d’émission, de modification et de réémission des facteurs d’authentification (certificats, mots de passe, etc.).
- des moyens d’authentification et d’autorisation permettant une authentification à multiples facteurs.
- Les systèmes qui génèrent les mots de passe ou vérifient leur robustesse doivent respecter
les recommandations de l’ANSSI.
- Dans les cas où la gestion des authentifications n’est pas du ressort du prestataire, ce dernier doit la contractualiser.
Le prestataire de services d’informatique en nuage qualifié garde la faculté de réaliser des prestations de services en dehors du périmètre pour lequel il est qualifié, mais ne peut, dans ce cas, se prévaloir de la qualification sur ces prestations.
Une prestation qualifiée peut être associée à d’autres prestations complémentaires (développement, intégration de produits de sécurité, etc.) sans perdre le bénéfice de la qualification.
Le prestataire doit définir le périmètre qu’il souhaite qualifier et établir la liste des exigences
applicables en accord avec le périmètre retenu.
Le prestataire doit déterminer le niveau de sécurité visé pour sa qualification.
Pourquoi le gouvernement souhaite que les prestataire de cloud computing soient accrédité ?
Les prestataires de cloud computing doivent être accrédite pour le gouvernement pour faciliter la régularisation et le contrôle. Egalement pour que les entreprises fasse plus confiance aux sociétés de prestataires.
...