Dans son document intitulé Guidelines on Security and Privacy in Public Cloud Computing, Special Publication 800-144*, le National Institute of Standards and Technology (NIST) constate que les organisations se doivent « d’exercer leurs activités conformément aux lois, règlements, normes et spécifications en vigueur ». Lorsque les fournisseurs de services en nuage travaillent pour le compte de départements ou d’organismes fédéraux pour recueillir, traiter, stocker, transmettre et détruire des données, ils doivent également respecter bon nombre de ces lois, règlements, normes et spécifications en matière de :

• sécurité – Les fournisseurs de services en nuage doivent respecter la Federal Information Security Management Act (FISMA), la Privacy Act, la Health Insurance Portability and Accountability Act (HIPAA), la National Security Act, la Clinger-Cohen Act, la Office of Management and Budget (OMB) Circular A-130, ainsi que les lignes directrices du NIST et autres normes sur la protection de renseignements appartenant à des entités commerciales ou des personnes. Ils doivent également répondre aux exigences du Federal Risk and Authorization Management Program (FedRAMP);
  
• accessibilité – Si la mise en œuvre d’un service en nuage comporte un volet d’accès public, les fournisseurs de services en nuage doivent répondre aux exigences de l’article 508 relativement à l’accessibilité pour les personnes handicapées;
  
• autres mandats et lignes directrices – Les exigences relatives aux contrôles, à l’accès et à la formation des utilisateurs en matière de gestion des documents doivent également être abordées, comme les lois de la National Archives and Records Administration (NARA). Les lignes directrices sur la protection de la vie privée et les flux transfrontières de données à caractère personnel de l'Organisation de coopération et de développement économique (OCDE) doivent également être respectées.

Les fournisseurs de services en nuage qui font preuve d’une grande rigueur en matière de conformité juridique et réglementaire offrent un meilleur rapport valeur-risque que les autres. Les trois tests suivants permettent d’évaluer la rigueur d’un fournisseur de services en nuage donné en matière de conformité :

1. reflète-t-il la définition de l’informatique en nuage du NIST? Toute lacune à cet égard ne procure pas l’efficacité, la flexibilité et la valeur optimales de l’infonuagique. Par exemple, le nuage de CGI a démontré qu’il possède les cinq caractéristiques définies par le NIST;
   
2. possède-t-il une autorisation provisoire pour offrir ses services (« Authority to Operate/ATO ») ou une autorisation équivalente émise par le FedRAMP? Une ATO est gage de conformité à la FISMA, la OMB A-130 et le NIST; elle aborde la conformité 508; elle exige la présence d’au moins deux centres de traitement des données dans la zone continentale des États-Unis; et elle prouve que le fournisseur de services en nuage a mis en place un processus satisfaisant de contrôle continu. CGI a réalisé un processus rigoureux afin de devenir le premier fournisseur de services en nuage à recevoir une ATO complète de trois ans de la General Services Administration (GSA) pour son offre d’infrastructure service (IaaS), et nous nous attendons à être l’un des premiers fournisseurs à répondre aux nouvelles exigences du FedRAMP;
   
3. offre-t-il une documentation robuste en matière de sécurité? La documentation en matière de sécurité d’un fournisseur de services en nuage constitue la principale source de renseignements pour un organisme qui désire effectuer sa propre évaluation des risques dans le cadre de l’octroi d’une ATO. Toute la documentation relative à l’ATO de CGI est disponible aux fins de consultation, offrant ainsi un niveau de transparence supérieur par rapport aux attentes de la plupart des organismes en ce qui concerne leurs propres systèmes.

La divulgation et la transparence s’avèrent des éléments fondamentaux des trois tests, ou à tout autre test. Bien que ces renseignements ne figurent pas sur le site Web public d’un fournisseur de services en nuage, puisqu’ils font en général partie de la propriété intellectuelle de l’entreprise, on devrait tout de même être en mesure d’y accéder par d’autres moyens. La GSA a créé une salle de lecture consacrée à l’examen de documents en matière de sécurité lors de l’étape d’évaluation préalable à l’offre. À la suite de l’octroi, le fournisseur de services en nuage doit rendre les documents accessibles en vertu d’une entente de confidentialité. Les organismes doivent être au fait des risques avant d’adopter les solutions en nuage. La divulgation et la transparence complètes leur permettent d’évaluer ces risques et de prendre des décisions éclairées.

*en anglais