Matthieu Guilpin,
CISO / RSSI chez ONE2TEAM
« Une bonne manière de faire du Cloud hybride est de s’appuyer sur un écosystème de Clouds publics de confiance (tiers de confiance) et pour catégoriser un Cloud comme étant de confiance, le plus simple est de se baser sur une ou plusieurs certifications de sécurité (comme l’ISO 27001). Cela ne signifie pas que la sécurité est maximale, mais cela apporte l’assurance de pratiques saines en termes de sécurité, qui sont auditées par une personne extérieure et indépendante.
Les liens entre ces briques de confiance publiques et le Cloud privé sont à surveiller également de près. Un chiffrement des communications et une authentification du serveur (généralement par un certificat de confiance) sont indispensables puisqu’il s’agit d’envoyer des informations potentiellement confidentielles sur un réseau public (Internet), et idéalement une authentification mutuelle, si cela est toutefois proposé par le fournisseur de Cloud.
Pour finir, il est recommandé, lorsque cela est possible, d’avoir un contact avec le RSSI du Cloud public que l’on souhaite raccorder au privé, ce qui nous permet d’avoir des réponses plus directes et garantir une certaine transparence, et potentiellement de pouvoir auditer nous-mêmes certains éléments clés. »
