Le guide de référence d’architecture d’entreprise dans le Cloud est un document maintenu par la Cloud Security Alliance (CSA). Il est au programme des certifications CCSK et CCSP. Il est basé sur l’utilisation de quatre modèles : TOGAF, ITIL, SABSA et JERICHO. Il complète la CCMutilisée en particulier pour les certifications STAR. Ce guide d’architecture ou Entreprise Architecture Reference Guide (EARG) peut être utilisé aussi bien par les fournisseurs que par les clients de solutions Cloud. Il peut servir de guide pour un plan d’amélioration, une feuille de route, une évaluation de différents fournisseurs ou pour identifier les services à mettre en place.
Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.
Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.
