9

Framework d’évaluation de
la sécurité de l’information

La sécurité du Cloud est une nouvelle occasion d’appliquer les bons principes de
sécurité à un domaine précis de manière à résoudre un ensemble de problèmes don-
nés. Dans cet ouvrage, nous avons jusqu’à présent passé en revue plusieurs aspects
de la sécurité du Cloud. Au Chapitre  4, nous avons examiné les éléments archi-
tecturaux. Au Chapitre  5, nous avons détaillé les exigences sur la sécurité des
données du Cloud. Au Chapitre 6, nous avons présenté des stratégies clés et des
bonnes pratiques pour la sécurité du Cloud. Au Chapitre  7, nous avons décrit
les critères de sécurité qui concernent la mise en place d’un Cloud interne. Enfin, au
Chapitre  8, nous avons donné les critères de sécurité à prendre en compte lors
de la sélection d’un fournisseur externe.
Ce chapitre poursuit sur le contenu précédent et présente les bases d’un framework
destiné à évaluer la sécurité d’un Cloud. Il complète les critères de sécurité recensés
au Chapitre 8 et vise à aller plus loin. Il devrait profiter aux activités qui précè-
dent l’évaluation, la certification ou l’accréditation d’un Cloud. Nous commençons
par passer en revue le travail en cours dans ce domaine, puis nous établissons plu-
sieurs check-lists d’évaluation des critères qui couvrent l’ensemble des activités
sous-jacentes à la sécurité de l’information dans l’informatique en nuage. L’objectif
de ce chapitre est de proposer au lecteur un jeu d’outils méthodique qu’il pourra
utiliser pour évaluer la sécurité d’un Cloud privé, communautaire, public ou hy-
bride. Pour évaluer la sécurité d’un Cloud hybride, il peut être plus facile d’évaluer
chaque instance de Cloud qui le compose à partir d’un ensemble de check-lists. Par
exemple, si le Cloud hybride comprend un Cloud privé et un Cloud public, il suffit
d’évaluer les composants privés à partir d’un jeu de check-lists et d’évaluer les
composants publics dans leurs domaines distincts. En procédant ainsi, vous pouvez
plus facilement comparer les différentes solutions de Cloud public.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
248 La Sécurité dans le Cloud

Évaluation de la sécurité d’un Cloud

La plupart des utilisateurs d’un Cloud, qu’il soit privé ou public, ont certaines at-
tentes quant à la sécurité de leurs données. De même, le propriétaire et l’exploitant
d’un Cloud partagent la responsabilité d’une mise en application des mesures de
sécurité et du suivi des normes et des procédures. Nous pouvons établir nos attentes
et nos responsabilités en les formalisant dans des exigences documentées. Par
exemple, les contrôles de sécurité du NIST 800-53 (voir Chapitre  6) détaillent
les exigences particulières des systèmes gouvernementaux. Les systèmes employés
par les agences gouvernementales doivent généralement s’y conformer, ainsi qu’à
des exigences connexes du NIST. La matrice des contrôles de la CSA prend une
approche comparable et détaille les exigences de sécurité des implémentations du
Cloud. On constate chez les utilisateurs professionnels une tendance de plus en plus
forte à adopter de telles exigences généralement acceptées. Lorsque vous devez
évaluer l’existence et la réalité de la sécurité d’un Cloud, une liste des contrôles de
sécurité requis ou recommandés constitue un bon point de départ.
Dans les implémentations du Cloud, les mesures de sécurité présentent deux as-
pects. Le premier est en rapport avec l’existence du contrôle, le second est relatif
à son efficacité ou à sa robustesse. Autrement dit, il ne suffit pas qu’un contrôle
de sécurité soit présent, il faut en plus qu’il soit efficace. Pour aller plus loin, nous
pouvons décrire cela comme le niveau de confiance (ou de garantie) que l’on peut
avoir dans ces contrôles. Par exemple, un Cloud peut mettre en œuvre des com-
munications chiffrées avec un utilisateur externe, mais, pour évaluer l’efficacité
des communications chiffrées, nous devons également vérifier que le contrôle est
correctement conçu, mis en œuvre et testé.
Déterminer l’existence et/ou l’efficacité des mesures de sécurité (par rapport aux
exigences de sécurité) constitue le principal objectif des évaluations de la sécurité.
Ces évaluations sont importantes car elles servent de guide à la planification ou
au développement de la sécurité et à la vérification de la bonne mise en œuvre des
contrôles. Mais elles se révèlent également utiles pour accélérer la décision d’abon-
nement à des services en nuage ; par exemple, un fournisseur peut choisir de publier
les résultats généraux obtenus lors de l’évaluation de sa sécurité par un tiers. Par
ailleurs, si nous comparons la sécurité de plusieurs Clouds, nous disposons alors
d’un ensemble de critères d’évaluation communs.
En fonction de la sensibilité des données ou du risque attendu sur un système, nous
pouvons mener une phase initiale d’établissement des exigences là où des mesures
de sécurité adaptées sont identifiées. Si nous effectuons ensuite une évaluation mi-
nutieuse de la procédure qui a conduit à l’identification de ces contrôles et si nous y
associons une évaluation de l’efficacité des contrôles mis en œuvre sur la sécurité,
alors, nous savons si un service en nuage présente une bonne sécurité vis-à-vis du
risque auquel il est soumis.
La Figure 9.1 illustre le lien entre les exigences, l’évaluation de la sécurité d’un
Cloud, sa mise en œuvre, la correction des vulnérabilités et les contrôles de gestion
permanente de la configuration.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Évaluation de la sécurité d’un Cloud 249

Figure 9.1 Juridique et vie privée

Des exigences et
de l’évaluation Exigences Procédures et
à la rectification de sécurité processus opérationnels
permanente de la
sécurité. Politique de sécurité, Contrôles
normes et directives techniques
de sécurité

Implémentation
du Cloud

Correction

Évaluation Évaluation
en continu périodique
(gestion du (revue des
changement) contrôles)

Vulnérabilités
signalées/résultats

Travaux sur les guides ou les frameworks pour la sécurité du Cloud

Depuis que l’informatique en nuage est arrivée en tant que nouveau modèle pour
les systèmes d’information, plusieurs travaux ont déjà été menés de manière à pro-
poser des guides sur la sécurité du Cloud :
mm Cloud Security Alliance (CSA). La CSA a été très active sur de nombreux
plans :
!! Cloud Controls Matrix (CCM). Elle est “conçue pour apporter des principes
de sécurité fondamentale de manière à guider les fournisseurs de Clouds et
à assister les futurs clients du Cloud dans l’évaluation du risque de sécurité
général d’un fournisseur. La CCM propose un framework de contrôles qui
détaille les concepts et les principes de sécurité en ligne avec les conseils de
la CSA dans treize domaines” [51].
!! Consensus Assessments Initiative Questionnaire. Ce travail “a pour objec-
tif de fournir des solutions généralement acceptées par l’industrie pour docu-
menter en toute transparence les contrôles de sécurité qui existent dans des
offres IaaS, PaaS et SaaS” [51].

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
250 La Sécurité dans le Cloud

!! Security Guidance for Critical Areas of Focus in Cloud Computing.

La version 2 du guide des points critiques à prendre en considération dans
le cadre de l’informatique en nuage a été publiée en décembre 2009. Elle
présente des conseils de sécurité sur différents aspects de l’informatique en
nuage, notamment l’architecture, la gouvernance, la sécurité classique et la
virtualisation.
!! Domain 12: Guidance for Identity & Access Management. La ver-
sion V2.1 publiée en avril 2010 s’intéresse aux principales fonctions de ges-
tion des identités dans le cadre de l’informatique en nuage. Ce travail forme
la pierre angulaire de la Trusted Cloud Initiative de la CSA.
mm CloudAudit. L’objectif de CloudAudit est de donner aux clients et aux opé-
rateurs du Cloud les outils pour mesurer et comparer la sécurité des services
en nuage. Pour cela, il définit “une interface et un espace de nommage com-
muns qui permettent aux fournisseurs d’informatique en nuage d’automatiser
la confirmation, l’évaluation et la garantie de leurs environnements d’infras-
tructure (IaaS), de plateforme (PaaS) et d’application (SaaS)” [51].
mm European Network and Information Security Agency (ENISA). Chef de
file des travaux sur la sécurité en Europe, l’ENISA a publié plusieurs docu-
ments pour guider une adoption sécurisée de l’informatique en nuage :
!! Cloud Computing: Information Assurance Framework. Publié en no-
vembre 2009, ce rapport présente un ensemble de critères de garantie qui
concernent les risques du passage à l’informatique en nuage.
!! Cloud Computing: Benefits, Risks and Recommendations for Informa-
tion Security. Publié en novembre 2009, ce rapport permet une évaluation
avisée des risques de sécurité et des avantages de l’informatique en nuage.
mm Federal CIO Council. Le document intitulé Proposed Security Assessment
and Authorization for U.S. Government Cloud Computing [45] a pour princi-
pale importance d’adopter les contrôles de sécurité du NIST 800-53R3 pour
l’informatique en nuage dans des systèmes aux risques faibles et modérés.
mm The Trusted Computing Group (TCG). En septembre 2010, le TCG a
constitué le Trusted Multi-Tenant Infrastructure Work Group, dont l’objectif
est de développer un framework de sécurité pour l’informatique en nuage. Il
utilisera les normes existantes pour définir une sécurité de bout en bout dans
l’informatique en nuage et proposera un framework qui servira de référence à
la conformité et aux audits.
Tous ces travaux sont relativement récents et n’ont pas encore reçu une reconnais-
sance générale. Il s’agit soit d’études initiales dans le but de proposer un point de
départ à un travail plus formel, soit du résultat de travaux communautaires allant
vers un framework commun pour la sécurité du Cloud. Autrement dit, dans ce do-
maine, l’incertitude est reine. C’est pourquoi la mise en œuvre d’un Cloud privé ou
communautaire se heurte à des difficultés au moment de l’évaluation de la sécurité,
tout comme les utilisateurs qui doivent évaluer la sécurité d’un service en nuage.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 251

Aujourd’hui, les utilisateurs ne disposent pas de moyens communs et standard

pour évaluer la sécurité d’un Cloud. En réalité, le monde d’avant l’informatique
en nuage n’a jamais vraiment adopté des frameworks d’évaluation de la sécurité,
hormis dans les domaines où la réglementation exige une mesure de la sécurité ou
lorsque l’évaluation est imposée. Toutefois, la sécurité du Cloud est un domaine
en pleine effervescence et tous les travaux précédents ont eu lieu entre 2009 et la
fin de 2010. L’adoption de ces travaux s’accélère de plusieurs façons, notamment
au niveau gouvernemental avec FedRAMP. En raison de leur nature, l’adoption
des Clouds publics est un vecteur de changement au niveau de la sécurité. Dans ce
domaine, les évolutions sont rapides et vous pouvez attendre de véritables avancées
à court terme. Voilà un exemple où l’informatique en nuage tend à une meilleure
sécurité dans les affaires, alors que la sécurité était précédemment une inquiétude
majeure mais avec peu d’amélioration.

Outils
Il existe de nombreux outils pour tester la sécurité, que l’on peut regrouper dans les
principales catégories suivantes :
mm scan de ports pour les services ouverts et actifs ;

mm scan SNMP ;

mm énumération ou catalogage des périphériques ;

mm scan de vulnérabilité d’un hôte ;

mm analyse des périphériques réseau ;

mm test de conformité des mots de passe et tentative de cassage.

Plusieurs outils de base ont réussi l’épreuve du temps. Il s’agit notamment de NMAP
pour le scan des ports et de Nessus pour le scan de vulnérabilité d’un hôte. Par ail-
leurs, de nombreux outils récents permettent de tester en profondeur les défenses
de manière à identifier la qualité, la résistance et les vulnérabilités de sécurité. Ces
outils proposent des suites de tests pour un large éventail des besoins de sécurité
des réseaux d’un Cloud.

Check-lists d’évaluation de la sécurité d’un Cloud

En rédigeant des check-lists pour l’évaluation de la sécurité d’un Cloud, nous voulons
disposer de moyens uniformes pour vérifier cette sécurité et obtenir des garanties du
fournisseur vis-à-vis de sa sécurité. Cependant, nous l’avons indiqué dans l’introduc-
tion de ce chapitre, les futurs clients ou utilisateurs peuvent également se servir de
ces check-lists pour comparer la sécurité des Clouds de différents prestataires.
La suite de cette section présente les check-lists qui constituent le cœur d’un fra-
mework d’évaluation de la sécurité d’un Cloud. Les questions qu’elles posent
trouvent leurs origines dans plusieurs sources, notamment la CCM de la CSA [34],
le Cloud Computing Information Assurance Framework de l’ENISA [15] et la pu-
blication 800-53R3 du NIST [32].

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
252 La Sécurité dans le Cloud

Attention
Les tests de sécurité, en particulier les tests d’intrusion et les tests de vulnérabilité,
peuvent facilement procurer un faux sentiment de sécurité. Le problème est de deux
ordres :

mm Premièrement, ces tests se fondent sur les connaissances actuelles des vulnérabili-
tés et ne peuvent pas tenir compte des exploits zero-day qui apparaissent réguliè-
rement. De nouvelles vulnérabilités sont découvertes quotidiennement. De temps
à autre, elles surgissent même dans des systèmes pourtant très matures. Une fois
encore, superposer des couches de défense (défense en profondeur) reste la meil-
leure stratégie contre les exploits zero-day.

mm Deuxièmement, des tests d’intrusion ou de vulnérabilité réussis ne donnent pas

la mesure de la sécurité globale, y compris les procédures et le vaste éventail des
contrôles opérationnels dont dépend un programme de sécurité de l’information.

Autrement dit, les tests de sécurité, en particulier les tests d’intrusion, contrôlent le sys-
tème cible uniquement à un moment donné et avec une étendue limitée. Les systèmes
et les configurations évoluent avec le temps et de nouvelles vulnérabilités peuvent se
révéler des années après qu’un système a été reçu, testé et approuvé. En conclusion,
ces types de tests doivent être considérés comme très superficiels et ne doivent pas
servir à certifier la sécurité. Dans ce cas, pourquoi les effectuer ? Les ingénieurs sécurité
s’accordent généralement pour dire que ces tests présentent une valeur. N’oubliez pas
que vos adversaires pourraient avoir plus de temps et d’intérêts que vous à “tester” vos
systèmes. Par conséquent, faites les tests sérieusement, mais n’en dépendez pas.

Les propriétaires de Clouds peuvent se servir des check-lists pour guider l’évalua-
tion de la sécurité de leurs environnements. S’ils les utilisent comme un framework
permettant d’effectuer un compte rendu de la sécurité de leurs Clouds, alors, les
locataires et utilisateurs potentiels pourront comparer la sécurité relative de plu-
sieurs systèmes. Les check-lists peuvent également être utilisées par les clients
d’un Cloud public pour poser des questions relatives à leurs besoins métiers. Toutes
ces questions ne seront pas pertinentes pour toutes les utilisations ou relations pro-
fessionnelles.
Chacune des sections suivantes s’articule autour d’un ensemble de contrôles ou
d’exigences liées. La Figure 9.2 récapitule les catégories de check-lists et donne
pour chacune d’elles la liste des groupes de contrôles ou d’exigences.

Sécurité de base
Une politique de sécurité définit les exigences ou les règles de sécurité de l’entre-
prise. Elle fixe les contraintes et les conditions sous lesquelles les individus et les
groupes doivent travailler. Elle sert de déclaration des intentions de la direction
vis-à-vis de la sécurité. Les actions de sécurité menées doivent pouvoir être mises
en regard de la politique de sécurité. Il peut exister plusieurs classes de politiques,
par exemple une politique de sécurité globale et des politiques supplémentaires qui
ciblent des aspects plus limités, comme une politique d’utilisation acceptable. La
politique se focalise sur l’obtention des résultats souhaités, non sur des mises en
œuvre particulières.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 253

Sécurité de base Défense en profondeur Sécurité d’exploitation

Politique, standards et
directives
Transparence
Sécurité du personnel
Fournisseurs tiers
Considérations métiers
Aspects juridiques
Continuité d’activité
Mise à disposition de
ressources
Assurance logicielle Sécurité physique du datacenter
Sécurité du réseau Alimentation et réseaux du datacenter
Sécurité des hôtes et des Gestion des actifs du datacenter
machines virtuelles Pratiques opérationnelles
PaaS et SaaS Gestion des incidents
Gestion des identités et des accès
Authentification
Gestion des clés
Chiffrement

Figure 9.2
Vue d’ensemble des check-lists d’évaluation.

Ces politiques sont étendues par d’autres déclarations d’exigences dans des do-
maines précis. Il s’agit généralement de standards qui couvrent des aspects par-
ticuliers, comme les contrôles techniques ou des contraintes de renforcement
spécifiques. Les standards stipulent des actions obligatoires qui sous-tendent la po-
litique. Les directives sont une troisième classe de documentation. Elles sont moins
formelles et orientées bonnes pratiques procédurales. Il s’agit de recommandations
ou de descriptions des pratiques qui aident à atteindre les objectifs d’une politique
de sécurité en décrivant un framework de mise en œuvre des procédures. Autrement
dit, une politique dit pourquoi, un standard dit quoi et une directive dit comment.
La Check-list 9.1 concerne les éléments de sécurité de base associés à la politique,
aux standards et aux directives.

Check-list 9.1 : Politique, standards et directives [15, 32, 34]

mm Une politique de sécurité a-t-elle été clairement documentée, approuvée et présentée

à toutes les parties concernées comme une déclaration des intentions de la direction ?
mm La politique de sécurité a-t-elle fait l’objet d’un examen concernant les aspects juri-
diques, de vie privée et gouvernementaux ?
mm La politique de sécurité a-t-elle été complétée par des standards et/ou des directives ?
mm La politique a-t-elle été complétée par une politique de vie privée ?
mm Les politiques de sécurité et de vie privée, ainsi que les standards et les directives, sont-
ils cohérents avec les normes industrielles (ISO 27001, COBIT, etc.) ?
mm Des fournisseurs tiers adhèrent-ils aux mêmes politiques et standards ?

La Check-list 9.2 concerne les critères d’évaluation qui tournent autour de la trans-

parence du fournisseur de services en nuage.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
254 La Sécurité dans le Cloud

Check-list 9.2 : Transparence [15, 32, 34]

mm Le fournisseur donne-t-il aux clients une copie des politiques, standards et directives
définis ?
mm Les clients sont-ils avertis des modifications apportées aux politiques, standards et
directives ?
mm Le fournisseur autorise-t-il les clients à consulter les audits de conformité effectués
par des tiers ?
mm Le fournisseur autorise-t-il les clients à consulter les résultats des tests d’intrusion ?
mm Le fournisseur autorise-t-il les clients à consulter les résultats des audits internes et
externes ?
mm Le fournisseur donne-t-il aux clients des informations sur sa gestion des actifs et la
réaffectation des équipements ?

La sécurité opérationnelle d’un Cloud repose sur la sécurité de son personnel. La

sécurité du personnel vise à éviter plusieurs catégories de risques et à créer un
environnement qui soutient les objectifs indiqués dans la politique de sécurité. La
Check-list 9.3 recense les critères d’évaluation de la sécurité du personnel.

Check-list 9.3 : Sécurité du personnel [15, 32, 34]

mm Des politiques et des procédures ont-elles été définies pour :

!! l’embauche des employés qui auront accès aux composants du Cloud ou les contrô-
leront ;
!! les vérifications avant embauche du personnel qui disposera d’accès privilégiés ?
mm Les politiques de sécurité du personnel sont-elles cohérentes dans les différents lieux ?
mm S’appliquent-elles aux systèmes et aux données en ligne, ainsi qu’aux systèmes hors
ligne qui stockent des données ou qui seront mis à disposition pour un usage en ligne ?
mm Existe-t-il un programme de formation à la sécurité et, dans l’affirmative, quelle est
son étendue ?
mm La sécurité du personnel est-elle souvent revue pour déterminer si les employés qui
disposent de certains accès doivent les conserver ?
mm Le personnel doit-il avoir et conserver des certifications de sécurité ?
mm Les accès physiques au bâtiment du fournisseur font-ils l’objet de recherches sur les
antécédents du personnel ?

Le recours à des sous-traitants ou à des prestataires tiers peut faire peser des risques
sur les clients, à moins que ces fournisseurs ne suivent et ne travaillent en accord
avec les politiques du CSP. La Check-list 9.4 recense les critères qui s’appliquent
aux fournisseurs tiers.

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
Chapitre 9 Check-lists d’évaluation de la sécurité d’un Cloud 255

Check-list 9.4 : Fournisseurs tiers [15, 32, 34]

mm Des services ou des fonctions sont-ils assurés par un tiers ?

mm Si une partie d’un Cloud est confiée à un sous-traitant ou externalisée de toute autre
manière, ce tiers se conforme-t-il aux mêmes politiques et standards que le CSP ?
mm Les fournisseurs tiers font-ils l’objet d’audit quant à leur conformité vis-à-vis des poli-
tiques et standards du CSP ?
mm La politique de sécurité (ou équivalent) et la gouvernance du CSP s’étendent-elles
jusqu’aux fournisseurs tiers ?

Considérations métiers
Les différents domaines d’activité des entreprises viennent avec des besoins variés
en matière de sécurité métier. Les considérations métiers comprennent notamment
les aspects légaux, la continuité d’activité et la mise à disposition des ressources.
Les Check-lists 9.5, 9.6 et 9.7 recensent les critères d’évaluation de ces considéra-
tions métiers. La Check-list 9.5 se focalise sur les aspects légaux.

Check-list 9.5 : Aspects légaux [15, 32, 34]

mm Où, c’est-à-dire dans quelle juridiction, seront stockées les données ?

mm Où, c’est-à-dire dans quelle juridiction, se trouve le fournisseur ?
mm Le CSP travaille-t-il avec des sous-traitants qui n’appartiennent pas à la même juri-
diction ?
mm Le CSP sous-traite-t-il des services ou du personnel ?
mm Le CSP exploite-t-il les données des clients d’une manière non définie par le service ?
mm Le CSP possède-t-il une procédure documentée pour répondre aux demandes légales
(comme une injonction) vis-à-vis des données des clients ?
mm En cas d’injonction, comment le CSP produit-il les données d’un seul client sans expo-
ser les autres données non concernées ?
mm Le CSP est-il assuré contre les pertes, y compris pour l’indemnisation des clients suite
à des pertes dues à un arrêt de fonctionnement du service ou à une exposition des
données ?

La continuité d’activité peut être critique pour les clients qui utilisent les services
en nuage dans leurs missions. Les critères associés à la continuité d’activité sont
décrits par la Check-list 9.6.

Check-list 9.6 : Continuité d’activité [15, 32, 34]

mm Le fournisseur dispose-t-il d’un processus formel ou d’un plan de secours qui docu-
mente et guide la continuité d’activité ?

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler
256 La Sécurité dans le Cloud

mm Quelles sont les pertes de données maximales admissibles (RPO, Recovery Point
Objective) et les durées maximales d’interruption admissibles (RTO, Recovery Time
Objective) du service ?
mm La sécurité de l’information englobe-t-elle le rétablissement et la restauration ?
mm Comment le fournisseur signale-t-il aux clients une interruption de service ?
mm Existe-t-il un site secondaire pour la reprise d’activité ?

La continuité d’activité est un sujet complexe qui mérite d’être étudié plus en détail
qu’il n’est possible dans un ouvrage sur la sécurité du Cloud. Le lecteur intéressé
pourra effectuer des recherches sur différents sujets connexes, notamment le plan
de continuité d’activité, le plan de reprise d’activité et le plan de continuité du sys-
tème d’information. Voici quelques ressources :
mm ANSI/ASIS SPC.1-2009, Organizational Resilience: Security, Preparedness,
and Continuity Management Systems—Requirements with Guidance for Use,
American National Standard ;
mm la publication spéciale 800-34 du NIST, Contingency Planning Guide for In-
formation Technology Systems ;
mm l’ouvrage Good Practice Guidelines, disponible en téléchargement à l’adresse
http://www.thebcicertificate.org/bci_gpg.html ;
mm le site du BCI (Business Continuity Institute) à l’URL http://www.thebci.org.
La mise à disposition de ressources dépend directement du fait que le service en
nuage dispose des ressources suffisantes pour répondre aux demandes croissantes
des clients. Pour cela, un fournisseur doit prendre certaines mesures afin de res-
pecter ses accords de niveau de service. Par exemple, il peut mettre en place des
procédures d’ajout de serveurs ou de systèmes de stockage lorsque la demande aug-
mente. La Check-list 9.7 recense les critères d’évaluation qui concernent la mise à
disposition de ressources.

Check-list 9.7 : Mise à disposition de ressources [15, 32, 34]

mm Quels sont les contrôles et les procédures en place pour gérer l’épuisement des res-
sources, notamment les dépassements en processeur, le manque de mémoire, d’espace
de stockage et l’encombrement réseau ?
mm Le fournisseur limite-t-il les abonnements aux services de manière à pouvoir respecter
ses SLA ?
mm Le fournisseur donne-t-il aux clients des informations sur sa planification de l’utilisa-
tion et de la capacité ?

© 2011 Pearson Education France – La sécurité dans le Cloud – Vic (J.R.) Winkler