… et comment la NASA va rattraper sa transition vers le Cloud

Si vous avez lu notre article « Comment la NASA a raté sa transition vers le Cloud », le nom de Paul K. Martin ne vous est pas inconnu. L’inspecteur général en charge des audits de la NASA, dans son rapport « NASA’s progress in adopting the cloud-computing technologies », fait en effet le constat de l’échec à ce jour de la transition des systèmes d’information de l’agence vers le nuage, qui créerait d’importants risques de sécurité. Pire, il met directement en cause l’OCIO (Office of the Chief Information Officer), la DSI des DSI de la NASA.

Pour arriver à ses conclusions, l’inspecteur a principalement évalué l’implémentation par la NASA de règles de gouvernance et de bonnes pratiques :

• le modèle de gouvernance à l’échelle de l’Agence, avec les processus de gestion du cycle de vie des activités de transition vers le modèle de fourniture des services IT dans le cloud computing ;
• les bonnes pratiques pour évaluer la sécurité et les risques dans le modèle du cloud computing, et la mise en œuvre des mécanismes de contrôle appropriés qui réduire ces risques à un niveau acceptable.

De toute évidence, c’est raté…

Les portes de sortie

Dans son rapport, Paul K. Martin fournit les axes qui selon lui devraient permettre à la DSI de la NASA de rectifier le tir. A commencer par renforcer la gouvernance de ses expériences de cloud computing. Pour s’assurer que ses organisations n’exploitent pas des services dans le cloud non-approuvés et non sécurisés, la DSI va devoir d’une part réaliser un inventaire des services cloud existants, et d’autre part imposer des règles de bonnes pratiques.

La coordination entre l’OCIO et les 15 Center and Mission Directorate Chief Information Officers (les DSI des centres opérationnels de la NASA) devra également être renforcée. Une coordination qui devra passer par l’adoption d’une stratégie cloud globale, et par des processus d’évaluation économique et sécuritaire des systèmes et données stockées sur un cloud public.

Contractualiser la sécurité du cloud public

L’analyse des contrats de cloud public a révélé qu’aucun d’entre eux ne prévoyait d’assurer la sécurité des données au travers des bonnes pratiques. Dans la majorité d’entre eux, ni des métriques de performances, ni le respect des règles fédérales de confidentialité, de sécurité ou de gestion des enregistrement ne sont prévus. Autant de risques de sécurité non couverts !

Le rapport préconise donc de contractualiser à la fois les bonnes pratiques et les règles fédérales de sécurité, ainsi que de suivi des performances. En interne, des contrôles annuels avec tests de sécurité doivent être mis en place. Ils doivent en particulier porter sur le contrôle de l’implémentation des contrôles ! Afin de s’assurer que l’impact du cloud en matière de sécurité, de disponibilité et sur les opérations de la NASA soient les plus réduits.

Et bien évidemment le rapport rappelle à l’Agence la nécessité de respecter les règles du FedRAMP (Federal Risk Authorization Management Program), qui comme évoqué dans notre précédant article est destiné à aider les agences à basculer dans le nuage en s’assurant que les fournisseurs de cloud affichent une sécurité adaptée, en éliminant les risques de déduplication, et en assurant un ROI rapide.

En conclusion

« Nous recommandons que le CIO de la NASA mette en place un bureau de gestion du programme de cloud computing autorisé à promulguer une stratégie d’agence en matière de cloud computing ; de définir des standards connexes ; et d’approuver, coordonner et superviser les acquisitions et déploiements de services de cloud computing à l’échelle de l’agence. »

Le CIO de la NASA aurait adhéré aux conclusions du rapport et proposé des actions correctives…

crédit photo  © Fer Gregory – shutterstock

Voir aussi

Silicon.fr en direct sur les smartphones et tablettes
Silicon.fr fait peau neuve sur iOS
Silicon.fr étend son site dédié à l’emploi IT