Dans le cadre du Certificat "Sécurité de l'Information" que je passe au CNAM en ce moment, j'ai un mémoire à réaliser. J'ai choisi de traiter le couple Sécurité/Cloud au travers de plusieurs thématiques: détail des offres existantes, risques, gouvernance de la sécurité,... l'objectif n'étant pas de prendre position mais plutôt de fournir des axes de réflexion pour éclairer une prise de décision en fonction des contraintes et enjeux propres à chaque organisation:
- comment estimer les risques ?
- comment choisir les mesures de sécurité ?
- comment organiser le suivi, le controle et l'audit ?
- quels réferentiels/méthodes/outillages peuvent être utilisés ?
Je n'ai pas et je n'aurai jamais d'avis absolu sur le cloud. Je pense simplement qu'il faut se préparer à interagir avec à des degrés divers.
Le cloud n'est plus une tendance, c'est un mode de consommation. Les directions métiers y voient facilité de mise en oeuvre et souplesse. Le pire scénario pour une DSI: laisser filer dans le cloud une partie de l'IT suite à un manque de réactivité face à des besoins métiers toujours plus importants. N'est-ce pas cela l'informatique agile ?
De manière générale, quelle que soit la problématique de sécurité, le chargé de SSI doit toujours étudier, donner et étayer son avis, mais ne jamais décider. Il doit laisser cette tâche aux seules personnes légitimes dans cette fonction: la direction de l'organisation. Il est toutefois tenu d'éclairer tous les aspects d'une problématique et d'assurer la complétude de son approche afin que les décisions soient prises en toute connaissance de cause. L'exhaustivité de sa démarche lui servira également a posteriori pour gérer les risques qui découlent du choix fait. Ne serai-je pas entrain de dévier du sujet initial ? Certainement... j'aurai d'autres occasions de philosopher sur le rôle de RSSI. Revenons à nos moutons.
Comme à chaque fois que je m'interesse à un nouveau sujet, je commence à rassembler un maximum de documentation de réference. C'est d'ailleurs cette activité qui m'a donné l'idée de ce billet.
J'écoute régulièrement dans mon véhicule les podcasts de l'émission radio 01 Business diffusée tous les samedis soirs. Le 12 février, il y avait une émission à propos du Cloud, enregistrée lors des Tech Days 2011.
Afin d'en garder une synthèse écrite pour un usage ultérieur notamment lors de la phase de rédaction de mon mémoire, j'ai décidé d'en faire une mindmap avec Freeplane.
L'exercice m'a permis de travailler la prise de note rapide sous forme de map, technique utile en réunion ou conférence surtout lorsque les interlocuteurs sont multiples.
J'ai d'abord réalisé la map séquentiellement "en live", en fonction des diverses interventions puis je l'ai retravaillée en phase "post-production": j'ai déplacé et regroupé les différents thèmes à la manière qui me convenait le mieux.
Tous les arguments de cette map ne sont pas mes arguments mais ceux des différents invités. La faiblesse réside dans le manque de références relatives aux origines des interventions de chacun. C'est un point qu'il faudrait que j'améliore si je venais à refaire ce type d'exercice.
J'ai rassemblé d'autres documents pour étoffer mon étude sur le Cloud:
- Maitriser les risques de l'Infogérance (Guide de l'ANSSI)
- Security Guidance for Critical Areas of Focus in Cloud Computing (Guide de la Cloud Security Alliance)
- Cloud Computing Risk Assesment (ENISA)
Je me lance désormais dans l'élaboration du plan de l'étude. Je souhaite pouvoir ainsi étudier chacune des références ci-dessus au travers d'un prisme unique pour garantir une certaine cohérence dans l'approche. J'aurai l'occasion de revenir sur tout cela lors de futurs billets.
Aucun commentaire:
Enregistrer un commentaire