Amazon a déjà entrepris d'améliorer la fonction de chiffrement, notamment avec l'intégration récente de Oracle Transparent Data Encryption à son service de base de données relationnelle Relational Database Service (RDS), et avec l'introduction de CloudHSM, un service qui s'appuie sur une appliance distincte pour protéger les clés cryptographiques utilisées pour le chiffrement. « Vous pouvez constater que nous mettons en place un certain type de service afin d'offrir aux clients les outils nécessaires pour créer une infrastructure de chiffrement qui leur permet de s'assurer que seules les personnes autorisées, dans ou hors de l'entreprise, ont accès à ces données », a déclaré Stephen Schmidt.

Informer sur les certifications

L'un des points forts de la sécurité d'Amazon a été de réunir différents types de certifications. « Pour certaines industries, c'est un must absolu. Par exemple, pour migrer Amazon.com vers AWS, nous devions être conforme aux normes PCI, à cause des volumes de transaction par carte de crédit. Pour que les administrations américaines puissent migrer vers AWS, il a fallu se hisser au niveau de leurs règles et de leurs spécificités, de même pour ce qui est des règles de conformité exigées par le gouvernement britannique, », a encore déclaré le RSSI d'AWS. « Les entreprises pour lesquelles la conformité n'est pas une nécessité absolue, des certifications comme l'ISO 27001 leur permettent de situer les pratiques d'Amazon en matière de sécurité ».

Amazon travaille toujours sur la certification Federal Risk and Authorization Management Program (FedRAMP), un programme du gouvernement américain dont le but est de standardiser l'évaluation de la sécurité, l'autorisation, et la surveillance en continu des services cloud. « C'est un processus en évolution. Le gouvernement américain n'a pas encore décidé ce qu'il veut faire avec FedRAMP, et il ne cesse de changer certains critères d'évaluation, mais j'espère que ce sera bientôt réglé, car nous sommes vraiment impatients de pouvoir la mettre en oeuvre », a déclaré Stephen Schmidt.

Les entreprises et les administrations publiques pourront se reposer sur FedRAMP au lieu de réaliser leurs propres évaluations, ce qui entraînera pour elles des économies de coûts et permettra de rendre les évaluations plus uniformes. « Aujourd'hui, certaines entreprises sont plus capables que d'autres de faire cette évaluation, mais le programme de FedRAMP va aplanir ces différences et augmenter la barre en matière de sécurité dans l'espace public », a déclaré Stephen Schmidt.