L’ENISA, conseillère en matière de nuages publics

L’agence européenne de sécurisation de l’information ENISA prodigue aux autorités des conseils sur la façon d’évaluer les services en nuage sur le plan de la sécurité. Des conseils qui peuvent s’avérer utiles également pour les entreprises.

L’agence européenne de sécurisation de l’information ENISA prodigue aux autorités des conseils sur la façon d’évaluer les services en nuage sur le plan de la sécurité. Des conseils qui peuvent s’avérer utiles également pour les entreprises.

Plus le nuage (‘cloud’) prendra de place dans le monde ICT, plus les utilisateurs (et les fournisseurs de nuages) devront se poser des questions concrètes à propos de sa sécurité et de sa fiabilité. Les pouvoirs publics tout particulièrement s’engageront eux-mêmes, mais aussi les citoyens, à empêcher la perte ou l’abus d’informations par des tiers. Dans le rapport ‘Security & resilience in governemental clouds‘, l’European Network and Information Security Agency (ENISA) propose un aperçu des problèmes éventuel, inhérents au choix du nuage, comme la fuite de données, l’indisponibilité de données, le lock-in, l’accessibilité aux données pour les autorités d’autres pays (si les données sont stockées en dehors des frontières nationales), etc. Que faire si le fournisseur du nuage commet une erreur? Quelles exigences les autorités doivent-elles et peuvent-elles poser et comment suivre de manière appropriée leur respect? L’ENISA distingue ici non seulement les nuages privés, publics et hybrides, mais aussi les nuages de communauté (utilisés de manière partagée par des organisations ayant des intérêts communs et proposés conjointement par ces organisations ou par une partie tierce).

L’ENISA recommande aux autorités de migrer vers un environnement ‘cloud’ en plusieurs phases, sur base d’une stratégie qui supporte la sécurité et la fiabilité. Le rôle de ce genre de solution ‘cloud’ doit être réexaminé dans le cadre des infrastructures critiques nationales. L’ENISA prône aussi le développement d’un nuage public européen “en tant qu’espace virtuel supranational, où s’appliquera une règlementation consistante et harmonisée, tant en matière légale qu’au niveau de la stratégie sécuritaire, et où l’interopérabilité et la standardisation seront encouragées”. Selon l’ENIZA, une telle infrastructure pourrait également être utilisée dans le cadre d’un plan d’assistance bilatérale en cas d’urgence.

Bien que conçues dans l’optique des besoins des pouvoirs publics, les informations contenues dans cette étude peuvent s’avérer certainement aussi très utiles pour les entreprises privées!