Niall Browne, directeur de la sécurité de l'information
La Cloud Security Alliance (CSA) a organisé son congrès annuel en Floride la semaine dernière, les 16 et 17 novembre. Une question qui était largement absente de la réunion de cette année était la question répétitive « Les entreprises vont-elles passer au cloud ? » ce qui a nécessité beaucoup d'angoisse et de torsion. Cela a été remplacé par la prise de conscience que l'adoption du cloud devenait rapidement une réalité de l'industrie et que les entreprises devaient prendre des mesures pour suivre le rythme ou être laissées pour compte.
En effet, le conseil du président de Symantec, John W. Thompson, depuis la tribune était « Ne combattez pas Mère Nature ! qui a été bien accueilli par les participants.
« Faire confiance mais vérifier » a toujours été l'une des philosophies clés des entreprises lors de l'évaluation de la sécurité de leurs fournisseurs, et les fournisseurs de cloud ne font pas exception. Cependant, l'une des principales préoccupations concernant le cloud est qu'à mesure qu'il introduit de nouvelles technologies et de nouveaux modèles d'exploitation, de nouveaux contrôles du cloud doivent être créés pour suivre les changements, et la question se pose : « Où sont ces contrôles de vérification de la sécurité du cloud ? »
Heureusement, de nombreux leaders du cloud et organismes de l'industrie de la sécurité étaient présents à la conférence pour commencer à répondre à la question de la "vérification" du cloud, notamment CSA, ISACA, BITS et CAMM, entre autres. Même le gouvernement fédéral était présent avec le programme fédéral de gestion des risques et des autorisations (FedRAMP), qui a été créé pour fournir une approche standard d'évaluation des services cloud. L'un de ses principaux avantages est que les résultats de sécurité du fournisseur de cloud peuvent ensuite être exploités dans l'ensemble du gouvernement fédéral. De plus amples informations peuvent être trouvées ici.
Le mois dernier, les évaluations partagées BITS ont été publiées "Évaluer les risques liés au cloud pour l'entreprise", un guide d'une cinquantaine de pages sur les étapes nécessaires à la sécurisation du cloud. Cela a impliqué la participation de nombreux leaders de l'industrie, dont Goldman Sachs, US Bank, AT&T, Gartner, KPMG, ISACA et CSA. Lors de la conférence, j'ai présenté les nouveaux contrôles cloud "Delta" nécessaires pour évaluer la sécurité des fournisseurs de cloud, et les mesures que les entreprises peuvent prendre pour intégrer la sécurité du cloud dans leurs programmes existants de gestion des risques et des fournisseurs. Ce Guide, qui a été présidé par LiveOps, peut être trouvé ici.
Il a été accepté par tous que le processus d'aide à la sécurisation du cloud et de création des étapes de vérification nécessaires implique un parcours progressif et itératif. Cette conférence a marqué le premier engagement généralisé de l'industrie pour aider à atteindre cet objectif, avec de nombreuses organisations et entreprises annonçant des programmes de sécurité innovants pour le cloud, et avec le leadership clé de la Cloud Security Alliance (CSA). Vous trouverez de plus amples informations sur le Congrès ici.
Vous souhaitez en savoir plus sur LiveOps et notre point de vue sur le cloud computing et la sécurité ? Consultez l'article récent sur lequel j'ai écrit Sécurité du centre de contact et le vrai cloud.
