En général, les exigences en matière de fiabilité et de sécurité peuvent être divisées en deux parties:

1 - Exigences pour les équipes travaillant sur les services cloud eux-mêmes
2 - Exigences établies par les services de sécurité et les agences gouvernementales

Si nous parlons des employés, l'objectif principal ici est de minimiser le "facteur humain" qui conduit à des incidents dans les domaines de la sécurité de l'information et de la technique.

De plus, alors que les exigences pour les employés des centres de données sont plus strictes (pour réduire la possibilité d'erreurs humaines, idéalement chaque étape et action devrait être réglementée), les exigences pour les développeurs et gestionnaires ordinaires travaillant sur un service cloud particulier sont beaucoup plus souples (puisque leur tâche principale est d'écrire du code et de gérer des produits) et principalement axées sur l'élimination de la négligence humaine pouvant causer des problèmes.

Voici une liste de ce qui était requis des développeurs du fournisseur de cloud où j'ai travaillé :

• Tous les accès non liés au travail immédiat sont fermés (principe du moindre privilège)
• Emporter avec soi ou détruire tous les documents papier et effacer tous les enregistrements sur les tableaux dans les salles de réunion.
• Verrouillage de l'ordinateur s'il n'est pas utilisé
• Cours réguliers obligatoires sur la sécurité de l'information et certification ultérieure
• Audits réguliers du code et des processus par des personnes "externes".

En général, on peut ajouter un mot d'ordre que tout employé Cloud devrait réciter par cœur s'il était réveillé la nuit:

Seuls les deux derniers points sont discutables, tout le reste doit être mis en œuvre sans condition dans toute entreprise digne de ce nom. Les cours sur la sécurité de l'information et les audits sont plus typiques pour les grandes entreprises.

La deuxième partie est ce qu'on appelle généralement la Conformité et qui relève plus ou moins de la responsabilité de tout service de sécurité de l'information dans n'importe quelle entreprise.

1. Certification des processus de l'entreprise pour la conformité
2. Analyse et surveillance des menaces et réponse à celles-ci (dans toutes les intentions)
3. Suivi des mises à jour du logiciel, utilisation par les employés de l'entreprise
4. Formation et examen des employés

Ces listes, bien sûr, sont loin d'être complètes, car il n'y a pas de limite à la perfection et il n'y a pas de limites dans la sécurité des données.

Eh bien, pour finir, j'aimerais dire quelques mots sur les certifications et les audits.
Les technologies Cloud modernes sont "couvertes" par un grand nombre d'exigences qu'elles doivent respecter. Un exemple est la bien connue norme ISO 27001 ou le même RGPD.

Et chaque fournisseur s'efforce d'être certifié selon une multitude de normes mondiales et régionales. Microsoft Azure ne fait pas exception et compte plus de 100 certifications de conformité. Eh bien, si vous n'y croyez pas, vous pouvez les compter personnellement à ce lien :
https://learn.microsoft.com/en-us/azure/compliance/

En conclusion, j'aimerais dire que les problèmes de sécurité et de fiabilité des processus ont des coûts énormes, mais il n'y a pas moyen de s'en passer. Après tout, toutes ces normes visent une seule chose : garantir la sécurité et la confidentialité des données des utilisateurs. Et nous avons déjà constaté que