Avec l�ISO, Amazon s�ouvre une porte vers les DSI et le Cloud d�Obama

Amazon Web Services a obtenu la certification ISO 27001 qui garantit que la s�curit� des services Cloud du groupe est conforme aux r�glementations en mati�re de s�curit� de l�information. Une certification qui devrait non seulement rassurer les DSI, en proie au doute quant � la s�curit� du nuage, mais �galement asseoir Amazon au rang des fournisseurs potentiels d�infrastructure de Cloud du gouvernement am�ricain.

Amazon veut rassurer sur la conformit� et la s�curit� des donn�es dans son Cloud. Le groupe, sp�cialiste des infrastructures de Cloud Computing au travers de ses offres EC2 et S3, a obtenu la certification ISO 27001 mi-novembre. Une norme internationale cens�e d�finir les contraintes pour la mise en place d'un Syst�me de Management de la S�curit� de l'Information (SMSI). �Le SMSI est destin� � choisir les mesures de s�curit� afin d'assurer la protection des biens sensibles d'une entreprise sur un p�rim�tre d�fini�, indique Wikip�dia. Ce standard ne s�applique donc pas uniquement au Cloud ou � l�IT.

Sur son blog, AWS explique que cette certification vient en fait compl�ter les diff�rentes mesures prises par le groupe en mati�re de s�curit� des donn�es. Comme les tests - r�ussis - de l�audit SAS 70 Type II, qui valident l�efficacit� des outils de contr�le et de s�curit� des services mis en place par un prestataire. �Ensemble, SAS 70 et ISO 27001 devraient vous [les clients, NDLR] donner confiance en la puissance et la maturit� de nos processus et pratiques op�rationnels en mati�re de s�curit� de l�information�, explique Amazon sur ce m�me blog.

AWS n�est toutefois pas le premier acteur du monde Cloud � avoir obtenu cette certification. Salesforce.com, sp�cialiste du CRM h�berg�, a d�j� re�u le sceau divin et Microsoft y postule pour Business Productivity Online Suite.

Rassurer des DSI qui doutent

Pour Amazon, il est clair que l'obtention de la certification fournit une premi�re r�ponse aux DSI qui consid�rent la s�curit� et l'int�grit� des donn�es comme un frein � l�adoption du Cloud Computing. Une r�cente �tude am�ricaine, r�alis�e aupr�s de 250 responsables IT par le cabinet Chadwick Martin Bailey (CMB), rappelait que si la confusion autour de terme �Cloud Computing� tend � s�estomper, guidant les entreprises vers de vastes projets de migration (pour 28% des r�pondants), la s�curit� du nuage reste encore l'un des soucis premiers, � 32%, contre 17% pour les co�ts et le prix, et 7% pour la fiabilit�.

Entrer dans la course au Cloud d�Obama
Mais ce n�est pas tout. Cette certification des services d�Amazon intervient alors qu�aux Etats-Unis, le gouvernement a d�cid� de faire du nuage une priorit� dans ses politiques IT. Une politique de �cloud-first� - comprendre le Cloud est la technologie IT choisie par d�faut - qui vise notamment � r�duire le foss� technologique entre les secteurs public et priv� am�ricains, comme l�indiquent nos confr�res du Cloud Computing Journal. Parmi les autres piliers de la politique IT d�Obama, une r�duction des co�ts qui passera alors par le recours au nuage.

En obtenant cette certification, Amazon se positionne donc comme un fournisseur d�infrastructure de cloud, pouvant davantage r�pondre aux exigences du gouvernement en la mati�re. D�autant que, hasard du calendrier, le bureau du CIO du gouvernement, Vivek Kundra, a r�cemment publi� une mouture du �Proposed Security Assessment & Authorization for U.S. Government Cloud Computing�, un document de 90 pages (PDF) qui d�crit les m�canismes et les mod�les de s�curit� auxquels doivent r�pondre les technologies de Cloud employ�es par le gouvernement am�ricain, dans son vaste programme de d�ploiement de son nuage.

Le document, aujourd�hui sous forme de proposition, est ouvert aux commentaires jusqu�au 2 d�cembre. Il indique notamment que le gouvernement peut se reposer sur une infrastructure de cloud public op�r�e donc par un fournisseur de type Google, Microsoft ou encore Amazon, � condition que celle-ci r�ponde aux contraintes. Le document d�finit notamment les bases � respecter (contr�le d�acc�s, gestion de la configuration, identification et authentification), et les conditions de monitoring (la gestion des audits et des mises � jour ainsi que leur fr�quences).