RSA Conference : ce qu'il faut retenir
Les enjeux de sécurité du cloud computing étaient au cœur des débats de conférence d'EMC. Pour l'occasion, Microsoft et Google ont réalisé deux annonces sur le front des espaces de confiance.
Lors de la RSA Conference, du 1er au 5 mars aux Etats-Unis, une grande partie des débats ont porté sur le défi de la sécurité des plates-formes de cloud computing. Une préoccupation, il est vrai, importante des DSI étudiant l'opportunité d'externaliser une partie de leur système d'information vers ce type d'infrastructure et de services hébergés.
Ce point a d'ailleurs constitué l'un des sujets centraux de la présentation d'ouverture, réalisée par le président de RSA, la division Sécurité d'EMC.
Art Coviello a notamment insisté sur l'importance d'une initiative comme la Cloud Security Alliance. Affichant comme objectifs de développer des bonnes pratiques et des standards autour de la sécurité des plates-formes de cloud, le groupement a d'ailleurs profité de la RSA Conference pour tenir son premier sommet.
Rejoint quelques jours plutôt par Google et CA, la Cloud Security Alliance compte parmi ses membres Microsoft, VMWare, Novell, Salesforce.com, Dell, HP ou Cisco. On relève néanmoins deux grands absents : Oracle et IBM.
Un tiers de confiance pour l'échange de données d'identité entre sites Web
Dans la même optique, EMC a annoncé avoir signé un accord avec Intel et VMware. Un partenariat dont l'objectif est d'aboutir d'ici six mois à une offre de sécurité commune adaptée aux environnements de cloud.
Objectif de la solution : offrir aux responsables de production les moyens de piloter finement l'exécution de serveurs virtuels sous VMware (en termes de droits d'accès, de machines physiques allouées...). L'offre en question fera notamment appel à un mécanisme d'authentification d'Intel au niveau de processeurs, ainsi qu'à une console de consolidation de donnes techniques d'EMC (Archer).
Plusieurs éditeurs ont également profité de l'événement pour annoncer de nouveaux produits. C'est notamment le cas de Microsoft qui a lancé la version 2010 (RTM) de sa solution de gestion des identités. Baptisée Forefront Identity Manager, elle gère la création des comptes utilisateurs d'un système d'information, et le provisionning des ressources (bases, applications...) en matière de droits et données d'accès. Intégrée à Active Directory et Windows Certificate Services, cette version améliore l'automatisation des tâches d'administration et du service utilisateurs.
Toujours sur le terrain des espaces de confiance, un groupe d'entreprises mené par Google a annoncé la création d'une association visant à promouvoir un dispositif qui permettrait l'échange d'identifiants utilisateurs entre sites Web. Baptisée l'Open Identity Exchange (OIX), cette organisation est notamment soutenue par VeriSign, Verizon et CA.
L'OIX a pour vocation de jouer un rôle de tiers de confiance, en fournissant un processus de certification des sites Web souhaitant échanger des données d'identité, ainsi qu'une infrastructure garantissant que ces flux sont sécurisés et respectent la vie privée. OIX a été autorisé à jouer ce rôle par le gouvernement américain.
Pour finir, des experts en sécurité ont évoqué les dernières tendances en matière de cyberattaque. Parmi eux, des chercheurs en sécurité de McAfee ont attiré l'attention en décryptant les assauts essuyés en janvier par une cinquantaine de sociétés américaines, dont Google et Intel. Les chercheurs sont notamment revenus sur la faille d'Internet Explorer utilisée par les pirates dans le cadre de cette opération.