Alors que les membres de SecurityVibes discutent des risques éventuels de l’utilisation des Google Apps par l’entreprise, le géant introduit progressivement l’authentification à deux facteurs pour ses Google Apps. Parallèlement, Google annonçait l’an dernier vouloir étendre ses règles de « DLP light » présentes dans l’offre GMail Premier à l’ensemble des Apps. Du DLP et de l’authentification forte de série avec le SaaS, rien que ça !

Il est tentant alors de penser que ces deux annonces, combinées, marqueront peut-être l’arrivée d’une couche de sécurité « par défaut » pour les solutions en mode Cloud de l’entreprise. Car si les projets de Google aboutissent, l’offre des Google Apps pour l’entreprise sera à notre connaissance la première à inclure d’emblée et gratuitement ces deux briques de sécurité.

Reste à savoir que faire de ces annonce. Google est-il un pionnier ? Son initiative va-t-elle réellement ouvrir la voie à la commodification de la sécurité pour le Cloud ? Car en définitive une fois ces technologies offertes par un acteur influent du marché il est difficile de faire machine arrière. Toute nouvelle offre sérieuse se devra alors de proposer au moins une authentification à deux facteurs (2FA) et peut-être aussi des outils de contrôle de l’information centralisée dans le nuage.

Ou estimez-vous plutôt que Google n’est pas assez crédible dans le Cloud pour donner l’exemple ? Après tout ce n’est pas Amazon ! Et puis sa réputation est plutôt écornée dans le domaine, comme le résume parfaitement à titre personnel Domage Eric lorsqu’il commentait un article publié sur SecurityVibes l’an dernier : « faire du Cloud chez Google avec des données d’entreprise c’est comme confier ses économies à Richard Madoff. Gros effet le premier jour (ROI + TCO), gros effet le deuxième jour (CNN + FBI + avocats), et aucun effet le troisième jour. Chercher nouveau travail le quatrième !« , confiait-il alors non sans humour.

Sans compter que de nombreuses offres d’authentification forte pour le Cloud existent déjà. Contrairement à l’initiative de Google elles ont le mérite d’être plus génériques, permettant ainsi de sécuriser l’accès à de multiples applications dans le Cloud (à l’image du service VeriSign Identity Protection offert par Symantec et que vient notamment de déployer Qualys pour ses clients).

Alors la sécurité du Cloud doit-elle prise en charge par les vendeurs eux-même et offerte d’emblée avec le service sous la forme d’une couche minimale et gratuite, quitte à la compléter si nécessaire avec des offres commerciales spécifiques ? Ou doit-elle être exclusivement laissée aux spécialistes via des offres génériques utilisables avec tous les services auxquels l’entreprise a souscrit ? Qu’en pensez-vous ?