Sécurité : la migration Cloud de la NASA vivement critiquée
l’agence spatiale américaine, la NASA, est de nouveau pointée du doigt. L’OIG (Office of the Inspector General), une agence gouvernementale, lui reproche cette fois des manquements graves dans le cadre de sa migration vers le Cloud.
Précurseur dans ce domaine, la NASA s’était dotée d’un Cloud privé dès 2009 : Nebula. Toutefois, ce dernier a finalement été fermé en 2012 suite à un benchmark de cinq mois comparant ses performances et coûts à ceux des services de Cloud public comme Microsoft et Amazon.
Une DSI sans réelle gouvernance du Cloud
Si l’OIG ne s’oppose pas au recours à des services IT en mode public, il relève néanmoins des manquements de la NASA en ce qui concerne la gouvernance de son SI et ses pratiques de gestion des risques.
Des faiblesses qui ont empêché l’Agence de « profiter pleinement des avantages du cloud computing et exposer à un risque potentiel les systèmes de la NASA et les données stockées dans le nuage » écrivent dans leur rapport les auditeurs.
Des faiblesses qui ont empêché l’Agence de « profiter pleinement des avantages du cloud computing et exposer à un risque potentiel les systèmes de la NASA et les données stockées dans le nuage » écrivent dans leur rapport les auditeurs.
Parmi les erreurs relevées, l’OIG cite notamment le cas de centres de la NASA ayant migré leurs systèmes et données sur des Cloud publics sans avoir informé ou obtenu le consentement de la DSI de la NASA.
Autre exemple : a cinq reprises, la NASA a acquis des services Cloud sur la base de contrats ne prenant pas pleinement en compte les risques métiers et de sécurité. Pire, un des systèmes de l’agence spatiale a été administré dans le Cloud durant 2 ans sans autorisation, sans plan de sécurité ou audit des mécanismes de sécurité.
0 commentaires :
Enregistrer un commentaire