©
CIGREF - IFACI - AFAI - Mars 2013
28
•
Le niveau initial est l’auto-évaluation CSA STAR : les fournisseurs de
Cloud
peuvent envoyer des rapports au Registre STAR CSA pour indiquer leur
conformité avec les meilleures pratiques du CSA. La disponibilité est immédiate.
•
Le deuxième niveau, la CERTIFICATION CSA STAR, est une évaluation par un
tiers indépendant : cette certification s’appuie sur les exigences de la norme
ISO/IEC 27001 : 2005 avec la matrice CSA
Cloud Control
(
CCM). Ces évaluations
seront menées par des organismes de certification approuvés seulement. La
disponibilité est prévue au 1er semestre 2013.
•
La certification STAR sera renforcée à l’avenir par une surveillance continue
basée sur la certification : ce troisième niveau est actuellement en cours de
développement.
•
ISO/IEC 27001
La certification
constitue la principale norme internationale servant à
évaluer les systèmes de gestion de la sécurité des informations. Elle définit des
exigences et meilleures pratiques pour une approche méthodique de la gestion
des informations des entreprises et des particuliers. Elle repose sur des estimations
périodiques des risques, adaptées aux menaces en perpétuelle évolution.
•
FEDRamp
Le
Federal Risk and Authorization Management Program
)
Service
Mark
(
SM) certifie qu’un fournisseur de
Cloud
a fait l’objet d’un processus
rigoureux d’évaluation de la sécurité, en accord avec le
Federal Information
Security Management Act
(
FISMA) et en utilisant les contrôles définis dans la NIST
Special Publication 800-53, Revision 4 «
Security and Privacy Controls for Federal
Information Systems and Organizations
».
Cette évaluation doit être validée par un
tiers, afin de vérifier que les contrôles sont testés et intégrés, et qu’ils respectent
le périmètre de l’évaluation.
•
PCI/DSS
Pour renforcer la sécurité des systèmes d’information, le
Payment Card Industry
(
PCI)
Security Standards Council
a développé le PCI
Data Security Standard
(
PCI
DSS). Le standard PCI DSS liste un ensemble de points de contrôles relatifs aux
systèmes d’information qui capturent, transportent, stockent et traitent des
données de cartes bancaires. Les points de contrôles sont relatifs à des techniques
informatiques, mais également à des procédures et à des contrôles organisationnels
sur ces systèmes.
