La migration d’applications ou d’infrastructures dans le Cloud, qu’il soit public ou privé, nécessite d’intégrer le plus en amont possible les aspects liés à sécurité. La question des certifications se pose : certifications, qualifications ou homologations des systèmes d’information mais aussi montée en compétence des collaborateurs travaillant sur les différents projets. Ce domaine évolue rapidement, cet article propose une synthèse des principales certifications.

Le manque de ressources humaines en cybersécurité est une réalité qui se vérifie aux Etats-Unis comme en Europe. Le déséquilibre entre l’offre et la demande semble se creuser (voir le 8ème Global Information Security Workforce Study publié par Booz Allen Hamilton). La majorité des professionnels du secteur estiment ne pas disposer de suffisamment de ressources. Les raisons avancées sont le manque de personnes qualifiées et disponibles, des exigences mal comprises par la direction, des budgets insuffisants, la difficulté à retenir les personnes en place et l’absence d’informations sur les évolutions de carrière.

Face à ce constat, le CISO (Chief Information Security Officer) / RSSI (Responsable Sécurité Système d’Information) qui fait face à la nécessité d’étoffer ses équipes doit travailler sur plusieurs axes.

Les certifications ont le vent en poupe aussi bien pour les personnes que pour les infrastructures ou les applications Cloud. Encouragées par les régulateurs, notamment au travers du règlement général de protection des données personnelles, l’objectif est de renforcer la confiance des clients sur le niveau de sécurité des fournisseurs. La CSA (Cloud Security Alliance) propose une version renforcée de sa certification STAR avec un système de vérification continue. L’idée est d’aller plus loin que les certifications ou attestations classiques (ISO 27001 ou ISAE 3402) en imposant un système de contrôle permanent comprenant des indicateurs de sécurité validés et transmis régulièrement aux auditeurs.