Contexte des certificats dans le cloud

Ce qu’un fournisseur de confiance dans le cloud doit offrir

Les certificats dans le cloud sont un indice de qualité et de sécurité. Toutefois, seuls les audits réguliers donnent un avis fiable sur tous les aspects pertinents allant de la gestion des mots de passe à la Disaster Recovery.

Texte: Urs Binder,

Faites confiance mais vérifiez. Ce proverbe russe est parfaitement indiqué lorsqu’il est question de sécurité et de fiabilité des fournisseurs et des services dans le cloud. Prenons l’exemple d’une entreprise commerciale: les données de base et les transactions spécifiques aux clients doivent être traitées de manière confidentielle et ne doivent en aucun cas tomber en de mauvaises mains – afin d’éviter que les clients ne se détournent. Les calculs de prix et les accords avec les fournisseurs concernent exclusivement les parties concernées. Il en est de même pour les dossiers personnels et les données salariales. Un dysfonctionnement de l’informatique pendant plusieurs jours ou des pertes de données sont hors de question. Les systèmes informatiques sont trop importants pour l’activité.


Tout ceci semble évident, y compris lorsque les systèmes se trouvent dans le centre de calcul interne à l’entreprise. Lorsque l’on confie son informatique, totalement ou partiellement au cloud, on doit avoir l’assurance que le fournisseur a pris et appliqué toutes les mesures requises pour assurer la sécurité informatique, la protection des données et la disponibilité des systèmes.

Certification des centres de calcul et des services dans le cloud

Les certificats fournissent une attestation de la fiabilité des fournisseurs dans le cloud, de leurs centres de calcul et des différents services dans le cloud. Quatre exemples:

  • Le «Star Audit ECSA» et le «Star Audit Swiss» avec des caractéristiques supplémentaires spécifiques à la Suisse par eurocloud.org. Toutefois, le site Web ECSA référence actuellement un très petit nombre de fournisseurs certifiés
  • Le «certificat Trusted Cloud» de TÜV Rheinland atteste de la réussite d’une batterie complète de contrôles couvrant tous les aspects pertinents. Les fournisseurs SaaS connus comme Salesforce.com ou box.com sont certifiés.
  • La certification Tier IV de l’Uptime Institute est considérée comme la plus haute distinction en matière de qualité au monde. Elle garantit la disponibilité, l’efficacité et la sécurité des centres de calcul. Le Swisscom-Data-Center de Wankdorf est le premier centre de calcul suisse à avoir reçu ce certificat en 2014.
  • Les plateformes PaaS ainsi que le Swisscom Application Cloud utilisent un certificat de la Cloud Foundry Foundation.


Ces certificats prennent en compte les normes et les exigences pour différents aspects du design et de l’exploitation des centres de calcul. Ils sont complétés par des caractéristiques et par des contrôles spécifiques au cloud en termes de fiabilité et de fonctionnalités.


Les certificats ne représentent toujours qu’un instantané, mais n’assurent pas de supervision continue des systèmes et des services et ne détaillent pas les différents clients des services assurés et leurs besoins individuels.

Transparence et visibilité

Les audits réguliers sont précisément ce qui aide réellement les clients du cloud. L’objectif est de créer de la transparence et de la visibilité sur toutes les caractéristiques du système. Si un fournisseur peut offrir cela, le client en profite doublement. Il peut se convaincre de la qualité et de la mise en œuvre adéquate des services et des mesures de sécurité. Il peut également attester, à l’aide des certifications et des rapports, qu’il satisfait à sa propre obligation de diligence.

En tant que fournisseur de cloud, Swisscom repose pour cela sur ses quatre pieds:


Toute l’entreprise est certifiée ISO 27001: ceci apporte la garantie de la présence et du maintien d’un système d’Information-Security-Management documenté et décrit les modalités d’évaluation et de traitement des risques de sécurité.

  • Un rapport d’infrastructure audité externe selon SOC2/ISAE3402: un système de contrôle supervise et documente régulièrement différents points de contrôle comme la réalisation des backups et l’attribution de privilèges administrateur. Le client reçoit à la fin de la période de reporting un rapport de la part d’un des cabinets d’audit «Big 4», chargé d’évaluer indépendamment le système de contrôle et les mesures réalisées.
  • Le Business Continuity Report fait également l’objet d’un audit externe: il atteste de la mise en œuvre des mesures de Disaster Recovery pour les applications particulièrement importantes pour la société. Le client reçoit un compte-rendu du respect des caractéristiques de performances accordées, comme le délai de rétablissement du service en cas de défaillance ou la durée maximum d’une perte de données.
  • Le Security Reporting informe sur la sécurité des Managed Services: la priorité est donnée à la gestion des patchs, aux mesures anti-malware et au durcissement des systèmes. Le client est assuré de l’exploitation en toute sécurité des Managed Services.