Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

RSA Conference 2011 : « Le Cloud Computing ne finira pas comme la PKI »

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

San Francisco, 15 février 2011. Exercice amusant de la part d’Art Coviello lors du discours d’ouverture de la 20ème édition américaine de la RSA Conference. Le CEO de RSA, la division sécurité de EMC, a passé en revue certains des moments les moins inspirés du petit monde de la sécurité, en puisant dans les vingt ans d’existence de la conférence. Et si Art Coviello a notamment fait sourire les vétérans en leur remémorant l’épisode de la puce Clipper, c’est surtout l’expérience de la PKI qui a fait les frais de l’exercice.

Graphique à l’appui, Art Coviello montre combien en l’espace d’une décennie la PKI a intrigué, séduit, excité et enfin déçu les foules. Mais bien entendu le CEO de RSA n’est pas seulement venu amuser la galerie avec l’histoire des PKI. Son objectif est surtout de défendre l’accent mis cette année sur le Cloud Computing que l’on retrouve non seulement comme thème officiel de la conférence (« La confiance dans le nuage ») mais aussi dans les brochures de la plupart des éditeurs présents. Une évangélisation omniprésente et tellement empressée que l’on pourrait parfaitement y voir un nouveau feu de paille technologique.

Alors certes Art Coviello trace un parallèle entre l’engouement pour les infrastructures à clés publiques en 2000 et celui pour le Cloud Computing aujourd’hui. Mais selon lui toute ressemblance s’arrête là : « Le Cloud n’est pas une mode comme le fut la PKI. Non : contrairement à cette dernière, qui faisait beaucoup parler d’elle mais était rarement déployée sur le terrain, le Cloud Computing transforme déjà les entreprises dès aujourd’hui« , assène Art Coviello.

Il reconnaît toutefois que cette transformation n’est pas sans heurt (le bel euphémisme que voilà !) : « en virtualisant les infrastructures les équipes perdent en visibilité et en contrôle« , reconnaît-il. Et c’est là que la casquette du vendeur revient : RSA annonce fort à propos le Cloud Trust Authority (CTA), un service destiné à faciliter la gestion des services et des applications dans le nuage. La solution vise à interfacer l’entreprise, ses utilisateurs et ses politiques de sécurité avec ses différents fournisseurs d’applications dans le Cloud.

Dans un premier temps CTA propose de prendre en charge le provisionning des utilisateurs sur les différentes solutions en mode SaaS de l’entreprise (en s’appuyant sur le Projet Horizon développé par VMware). Authentification forte via SecureID, SSO, fédération des identités : il s’agit pour RSA de répondre à la problématique de maîtrise des applications en mode SaaS, un sujet que nous abordions récemment. Et même si l’offre est encore loin d’être complète, l’arrivée de RSA sur ce marché vient certainement changer la donne pour les petits acteurs que nous vous présentions alors.

D’autant plus que CTA n’en restera a priori pas là. RSA ambitionne à terme d’intégrer les applications SaaS au modèle de gouvernance des entreprises. Cloud Trust Authority se basera pour cela notamment sur la console de GRC d’Archer (acquis par RSA l’an dernier) et sur CloudAudit, un framework développé par la Cloud Security Alliance et annoncé en marge de la RSA Conference. CloudAudit vise à permettre un scoring standardisé des fournisseurs de SaaS en fonction de leur niveau de sécurité. L’objectif est à terme d’offrir une visibilité claire sur la confiance que l’on peut accorder à chaque fournisseur et d’aligner ainsi la conformité de ces prestataires aux exigences de l’entreprise. Récemment Raj Samani, conseiller stratégique pour la Cloud Security Alliance, nous expliquait vouloir grâce à ce framework laisser aux entreprises le choix de leurs prestataires dans le Cloud en fonction du niveau de confiance qu’elles souhaitent leur accorder et du budget qu’elles souhaitent y consacrer.

En intégrant à l’avenir ce métrique au sein de sa solution RSA espère ainsi automatiser le processus de conformité : générer par exemple des rapports prouvant que l’entreprise n’a recourt qu’à des prestataires SaaS d’un niveau de sécurité donné ou donner l’alerte si ce niveau est revu à la baisse pour l’un des prestataires référencé (et peut-être même en couper l’accès aux utilisateurs internes tant que le niveau ne remonte pas…).

La version bêta de Cloud Trust Authority sera disponible au second semestre 2011.

Le chemin sera long toutefois jusqu’à la vision d’Art Coviello. Car au delà des voeux pieux ou des espoirs de la Cloud Security Alliance, sur le terrain les entreprises semblent réticentes à accepter les changements imposés par la montée des applications vers le nuage (quand elles n’ont tout simplement pas du mal à garder la trace des applications SaaS qu’elles utilisent !). Ces changements forcent en effet l’entreprise à repenser la sécurité afin qu’elle soit, selon Art Coviello, « centrée sur l’information plutôt que sur les systèmes, automatisée, basée sur le risque et dynamique (parce que l’exposition au risque change constamment, ndlr) ».

Mais le jeu peut en valoir la chandelle même sans viser la maîtrise du Cloud Computing : récompensé par un prix d’excellence remis sur scène à l’issue de la keynote d’Art Coviello, le RSSI de Centers for Medicare & Medicaid Services, un organisme de sécurité sociale américain, a ainsi économisé 18 millions de dollars en 2010 en passant d’une sécurité tournée vers la seule conformité réglementaire à une sécurité basée avant tout sur le risque.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à RSA Conference 2011 : « Le Cloud Computing ne finira pas comme la PKI »

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.