Résoudre les problèmes de demain aujourd’hui: comment la Cloud Security Alliance fait progresser les meilleures pratiques en matière de cloud computing

TL; DR: La Cloud Security Alliance (CSA), fondée en 2008, est une organisation mondiale dédiée à la définition et à l’avancement des meilleures pratiques dans le cloud computing. Grâce à des projets de recherche, des groupes de travail, des formations, des certifications et des événements, l’association à but non lucratif favorise une communauté collaborative de diverses parties intéressées à maintenir un écosystème cloud de confiance. Maintenant, alors que l’ASC élargit sa portée pour établir un cadre de contrôle de l’Internet des objets, l’organisation vise à servir un cercle d’adhésion encore plus large..


Jim Reavis et Nils Puhlmann ont fait face à des réactions allant du scepticisme au rire lorsqu’ils ont décrit leurs plans pour la Cloud Security Alliance lors du Forum CISO 2008 de l’Information System Security Association à Las Vegas..

«Nous avions identifié un perturbateur dans notre industrie et nous devions créer un écosystème de confiance dans les environnements cloud», a déclaré J.R. Santos, vice-président directeur de la recherche à CSA. “Pourtant, 80% de la salle a ri à l’idée et a dit:” Il n’y a aucun moyen de diable nous allons cloud. “”

Avec seulement une poignée de personnes à bord, CSA est né.

“Ils étaient comme,” je pense que vous êtes sur quelque chose “”, a déclaré J.R. “C’est à ce moment-là que tout a commencé: la fondation était là, mais nous devions développer des meilleures pratiques et des conseils pour aborder cette nouvelle chose appelée le cloud.”

J.R.Santos, vice-président directeur de la recherche à l'ASC

J.R.Santos, vice-président exécutif de la recherche, nous a expliqué que la CSA a été créée pour élaborer des normes de sécurité dans les environnements cloud.

Une série de réunions administratives avec des chefs de file du secteur au début de décembre 2008 a officialisé la création de la CSA, et l’organisme à but non lucratif a rapidement commencé à travailler sur son premier livre blanc: Guide de sécurité pour les zones critiques du cloud computing.

Aujourd’hui, l’ASC a terminé la version 4 de ce livre blanc fondamental et a étendu ses efforts à d’autres projets de recherche, groupes de travail, possibilités d’éducation et de formation et événements. Pour encourager la participation d’un large éventail de parties concernées, l’ASC explore également de nouveaux domaines de recherche, notamment l’IoT et DevSecOps. «La sécurité du cloud reste notre fondement, mais nous avons également évolué vers des technologies connexes», a déclaré J.R. «Nous pensons que le cloud est l’épine dorsale de notre avenir en tant que professionnels de la sécurité.»

Projets de recherche axés sur le consensus et groupes de travail

J.R.nous a dit que le programme de recherche indépendant du fournisseur de l’ASC est basé sur une collaboration mondiale avec les praticiens de l’industrie, les établissements d’enseignement et les organismes gouvernementaux.

“Notre recherche est unique en ce qu’elle est fondée sur le consensus et développée par notre communauté pour permettre à notre industrie de résoudre les problèmes de demain aujourd’hui”, a déclaré J.R. «Nous sommes fiers des relations que nous entretenons avec les organisations et les agences gouvernementales: nous voulons être le ciment pour tout rassembler.»

J.R. apprécie également l’approche agile à but non lucratif de la résolution de problèmes. En tant que petite organisation, la CSA est capable de pivoter selon les besoins pour atteindre ses objectifs efficacement, par rapport aux agences gouvernementales ou à certaines organisations d’élaboration de normes.

«Nous voulons faire partie de la solution», a déclaré J.R. «Nous ne faisons pas partie de ces groupes qui passent cinq ou six ans assis dans des salles de conférence à se demander qui a raison, qui a tort et quel pays ils représentent.»

Les partenariats avec les organisations à but non lucratif garantissent que la CSA ne perd pas de temps à dupliquer le travail des autres. Depuis que J.R.a pris la tête de la branche de recherche de l’ASC, le groupe a produit plus de 300 artefacts de recherche uniques qui sont maintenant disponibles gratuitement au sein de la communauté de l’ASC. “Nous ne voulons pas réinventer la roue”, a déclaré J.R. “Pour moi, il est utile de se concentrer sur les domaines qui ne sont pas abordés.”

J.R.a déclaré que la CSA compte également plus de 30 groupes de travail actifs qui recherchent des initiatives spécifiques dans des domaines allant des mégadonnées et de l’Internet des objets (IoT) aux accords de niveau de confidentialité et aux conseils de sécurité. La plupart des groupes sont ouverts à la participation du public.

Développer des compétences grâce à des ressources éducatives et des opportunités de formation

Ce n’est un secret pour personne que l’industrie de la sécurité du cloud évolue en permanence – et les professionnels ont besoin d’accéder aux outils et aux conseils nécessaires pour évoluer au rythme de ces changements. “Quel que soit le rôle que vous jouez dans l’industrie, vous avez la possibilité de contribuer, de consommer de la recherche et de vous éduquer”, a déclaré J.R..

L’OSBL offre également diverses possibilités de certification. En 2010, CSA a lancé la première certification d’utilisateur de sécurité cloud de l’industrie, le Certificate of Cloud Security Knowledge (CCSK), établissant une référence en matière de compétence. Le groupe gère également le célèbre CSA Security, Trust & Registre d’assurance (STAR), un programme de certification en trois parties qui comprend l’auto-évaluation, un audit tiers et une surveillance continue.

Vous recherchez des mises à jour sur les nouvelles technologies, la recherche et les sujets de tendances liés au cloud computing? CloudBytes de CSA est une série continue de webinaires d’une heure regorgeant de meilleures pratiques sur des questions de sécurité pertinentes telles que gagner en visibilité dans les conteneurs.

«Nous avons créé plus de contenu pour aider les gens à comprendre différents cas d’utilisation et technologies pertinents pour leur parcours cloud», a déclaré J.R..

La mission globale de l’ASC est de «promouvoir l’utilisation des meilleures pratiques pour fournir une assurance de sécurité au sein du cloud computing, et de fournir une formation sur les utilisations du cloud computing pour aider à sécuriser toutes les autres formes de calcul».

J.R.a déclaré que cela couvre une variété de scénarios.

«Si, par exemple, vous souhaitez démarrer un programme de gestion des fournisseurs au sein de votre organisation, nous avons un cadre qui est mappé aux normes importantes de l’industrie», a déclaré J.R. “Ou, si vous sentez qu’il y a quelque chose lié à la sécurité qui n’est pas abordé, nous pouvons le vérifier dans la communauté et décider si c’est quelque chose que nous devons poursuivre.”

Une communauté d’entrepreneurs, de sociétés et d’organismes gouvernementaux

L’ASC jouit d’une présence mondiale impressionnante, avec des bureaux, des partenariats, des organisations membres ou des chapitres sur tous les continents, sauf en Antarctique. En plus de sa diversité géographique, l’organisation dirigée par ses membres vise à servir un large éventail d’individus, de startups, d’entreprises et de fournisseurs de solutions..

“En fin de compte, tout le monde a besoin d’une place à la table, et nous ne faisons pas de discrimination”, a déclaré J.R. «Dans certaines organisations d’élaboration de normes, vous pourriez avoir 20 ans d’expérience et ne pas être invité à une réunion. Dans notre région, vous pouvez être tout, d’une mouche sur le mur, vous renseigner ou être un expert en la matière. »

Le matériel est gratuit pour les individus sur la base d’un niveau minimum de participation – un accord étonnamment abordable étant donné que les différents canaux de recherche de l’ASC contribuent à accélérer la croissance de carrière.

“Vous pouvez choisir de contribuer autant que vous le souhaitez, et vous ne serez pas jugé”, a déclaré J.P. “En termes de développement personnel, vous pourriez être en mesure d’interagir avec, par exemple, le CSO d’une entreprise du Fortune 500 ou d’autres cadres supérieurs”, a-t-il déclaré..

Les abonnements payants, tels que les options Executive et Corporate de CSA, offrent aux organisations une variété d’avantages, y compris des conseils indépendants des fournisseurs d’experts en sécurité, l’accès au Enterprise User Council, des jetons gratuits pour les opportunités de formation et des sièges gratuits pour les événements de l’industrie.

Une nouvelle frontière dans la sécurité du cloud: établir un cadre IoT

La communauté de l’informatique en nuage ne cesse de croître et la CSA ajuste continuellement sa voie à suivre en fonction des demandes changeantes de l’industrie. Récemment, l’organisation a annoncé l’ouverture d’un nouveau siège social de CSA Europe en réponse à la croissance rapide des effectifs dans toute la région.

Graphique illustrant l'éducation au RGPD de l'ASC

Le CSA vise à promouvoir la conformité au RGPD grâce à des directives de transparence.

“Nous sommes impliqués en Europe depuis un certain temps, principalement dans les subventions de la Commission européenne, mais maintenant nous suivons le modèle que nous avons aux États-Unis avec l’adhésion des entreprises”, a déclaré J.P. “C’est bien de voir un changement dans la région EMEA et obtenir un peu plus de traction dans cet espace.”

L’ASC coordonnera également ses activités GDPR par le biais d’un nouveau centre d’excellence du Règlement général sur la protection des données (GDPR) pour le cloud computing à Berlin, en Allemagne. “Nos membres fondateurs – Google, OneTrust, Netskope, eGov Consulting and Development, Zscaler et Qualys – nous ont aidés à établir le Centre d’excellence GDPR”, a déclaré J.P. “Il y a beaucoup d’opportunités pour l’éducation dans cet espace qui a un impact sur de nombreuses organisations mondiales.”

J.P.est également enthousiasmé par les plans visant à établir un cadre IoT pour traiter des domaines spécifiques de la sécurité. Compte tenu de la rapidité avec laquelle notre paysage réglementaire et technique évolue, CSA prévoit que la sécurité de l’IoT changera la donne.

Et même si les gens se sont moqués de l’idée de former la Cloud Security Alliance en 2008, il est juste de dire que l’histoire ne se répétera pas en fonction de cette prédiction. “Si vous y réfléchissez, nous introduisons tous une technologie portable dans nos environnements d’entreprise parce que les gens prennent leurs affaires personnelles au travail, et c’est acceptable”, a-t-il déclaré. «Nous devons accepter le fait que l’IoT fera partie de notre monde et trouver comment le protéger.»

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me