Après avoir mis en place (suite au rachat d’Archer) une plate-forme de gestion de la sécurité et conformité des environnements (virtuels et physiques) RSA étend désormais son offre au Cloud avec une nouvelle offre de services regroupés sous l’appellation Cloud Trust Authority.
C’est là une idée business qui repose avant tout sur deux services. Le premier orienté fédération d’identités au bénéfice de tous les fournisseurs de services (Service Provider, SP) qui travaillent avec l’éditeur. Le second service permet à ces mêmes fournisseurs de services de prouver à leurs clients leur mise en conformité aux règlementations en vigueur dans le secteur d’activités concerné. En outre, ce service offrira aux entreprises clientes la possibilité d’auditer quand elles le désirent la réelle mise en conformité de leur fournisseur.
Comment cela fonctionne ? D’un point de vue technique, le contrôle d’authentification est orchestré par RSA qui propose un SSO, Single Sign On. La technologie de fédération d’identités choisie provient des laboratoires VmWare utilisée dans son projet Horizon. Un projet de gestion des accès utilisateurs au cloud. L’équipement RSA conforme à tous les standards du marché, peut donc récupérer l’existant en termes d’identités utilisé par l’entreprise, SAML, Ldap, Active Directory … A partir de là, il fera le lien avec le système d’authentification du fournisseur de services lui-même basé sur des standards. Tout cela sera transparent pour les deux parties à chaque extrémité. Le système de RSA sera situé en front end chez le fournisseur de services. Tout cela amène à dissocier l’utilisateur du matériel qu’il utilise pour se connecter.
Service d’audit à la demande …
Comment prouver à tous ses clients qu’on est conforme sans dépenser une somme phénoménale dans des audits personnalisés car chaque client obéit à ses propres réglementations métier ? Là est la question pour le fournisseur de services. Si l’on prend le problème sous l’angle, cette fois de l’entreprise, comment se lancer dans l’aventure du cloud public quand on est responsable de tout et que l’on n’a accès à rien même pas à la vérification de ce qu’avance son fournisseur de services quand à sa conformité aux réglementations ? Pour résoudre cette problématique, l’idée de RSA est de s’appuyer sur les « standards » publiés par le CSA, Cloud Security Alliance. Ce dernier fournit des questionnaires aux entreprises afin qu’elles puissent mener à bien des interrogatoires afin de savoir si un fournisseur de services peut leur convenir (liste des réglementations obligatoires dans leur cas, entre autres). RSA intègre le questionnaire sur sa plate-forme et récolte les informations en provenance du fournisseur de services. Un rapport est fourni à ce dernier afin qu’il prouve ou corrige s’il n’est pas conforme et un autre au client, ce qui lui a permis d’évaluer son prestataire potentiel. Pour l’instant, ces services ne verront pas le jour avant six mois et c’est à ce moment-là que l’éditeur mettra en place une tarification appropriée …
Pour Eric P. Baize, Senior Director, Cloud Security Strategy and EMC Product Security Office, « Les entreprises adhèrent de plus en plus au principe du Cloud, à l’idée de « l’IT comme un service ». Mais le problème est qu’elles ne contrôlent plus rien tant au niveau de la gestion que de la sécurité dans ces environnements virtualisés. Cela a donné naissance chez nous dans un premier temps à une plate-forme (celle d’Archer combinée à des contrôles VmWare entre autres) offrant la visibilité recherchée et le contrôle des infrastructures virtuelles ainsi qu’à la maîtrise des risques de ces nouveaux environnements notamment dans des clouds privés. Mais en ce qui concerne les Clouds publics comment offrir de nouveau cette possibilité ? Chaque entreprise doit construire avec son fournisseur de cloud ou de services cloud une relation qui leur permette d’avoir à distance de nouveau ce contrôle et cette visibilité. Derrière une telle relation, c’est l’établissement de contrats, la mise en application de toutes sortes de technologie, de l’authentification forte … mais on imagine très bien les freins induits dus à une forte complexité des solutions envisagées pour ces contrôles. D’où l’idée des services Cloud Trust Authority ».