Our Blog

1. Identifier les données et les traitements qui seront externalisés dans le Cloud, en distinguant les informations critiques et confidentielles de votre entreprise.

 

Le client qui fait appel à un prestataire de service Cloud doit s’assurer avant de signer un contrat que les données qu’il compte externaliser sur la plateforme mise à sa disposition sont transférables d’un point de vue stratégique pour son entreprise, mais aussi juridique.

Il convient donc d’abord de segmenter les données qui transitent au sein de l’entreprise pour évaluer leur niveau de confidentialité et la pertinence de leur externalisation ; pour se faire, le client peut distinguer plusieurs types de données :

-Les données de nature personnelle

-Les données dites stratégiques pour l’entreprise

-Les données dites sensibles pour l’entreprise

-Les données qui ont trait aux applications métiers

Il s’agit d’une étape cruciale pour éviter que les données importantes ne soient récupérées par des pirates informatiques, ou perdues à cause de sinistres (même si les grands fournisseurs de Cloud Computing prévoient une réplication automatique et géo-redondées des informations). De plus, certains secteurs sont soumis à une législation très encadrante comme les données de santé qui ne peuvent être stockées que chez un hébergeur agréé par le Ministère de la santé.

 

2. Définir un cahier des charges relatif à la sécurité technique et juridique

 

L’une des qualités du Cloud est la standardisation de ses services ce qui permet de réduire les coûts pour le prestataire et son client ; néanmoins, celle-ci peut être pris à défaut pour certaines offres de Cloud, car elle ne répond pas par définition aux besoins particuliers d’une entreprise, notamment en matière de sécurité et de confidentialité. Il convient dès lors de définir ses propres règles dans ce domaine et choisir le prestataire en fonction de ce qui sera établi dans le rapport. Celui-ci doit regrouper les règles qui concernent les points suivants :

-Les contraintes légales : l’exemple que nous avons employé précédemment est pertinent, les données de santé sont soumises à une réglementation stricte. Il est ainsi nécessaire de faire un audit de ses données.

-Les contraintes pratiques : disponibilité, réversibilité (pouvoir obtenir l’intégralité des données dans un format exploitable) et portabilité doivent être prises en compte, car le client doit pouvoir avoir accès à ses données à n’importe quel moment et depuis n’importe où (selon les règles fixées avec le fournisseur). Ce sont des notions essentielles dans le cas où le client serait amené à changer de prestataire de Cloud. Si la technologie de l’opérateur ne permet pas de migrer les données sur une autre technologie utilisée par un concurrent, nous conseillons de ne pas faire appel à cette offre.

-Les contraintes techniques : l’interopérabilité désigne la capacité d’un système informatique de fonctionner sans restriction avec un autre type de technologie. Pour le cas de Microsoft, ce fournisseur de Cloud était vivement critiqué, avant l’ouverture effectuée, pour ne pas fonctionner avec la technologie Open Source (Ubuntu…).

 

3. Identifier les mesures de sécurité essentielles pour votre entreprise en établissant une analyse des risques

 

Selon la commission du CNIL, les principaux risques qu’encoure une entreprise sont :

-La perte de gouvernance sur le traitement des données

-La dépendance technologique, s’il n’est pas possible de migrer les donnée vers un autre opérateur ou l’existant technologique de l’entreprise.

-Une faille dans l’isolation des machines virtuelles impliquant que vos données soient rendues accessibles pour d’autres personnes/organisations externes à votre entreprise.

-L’accès de vos données par les autorités étrangères comme la NSA dans le scandale PRISM.

-Une faille dans au niveau d’un sous-traitant auquel aurait fait appel votre fournisseur

-La disparition ou la corruption de vos données

-L’acquisition de votre prestataire par une autre entreprise

 

4. Choisir le segment du Cloud computing le plus adapté à vos besoins

 

Nous avons vu dans les précédentes sections les différentes strates du Cloud que sont le SaaS, le IaaS et le PaaS. Choisissez l’offre qui paraît répondre de manière adéquate à votre activité et vos exigences de sécurité et de confidentialité.

Les différents modèles de déploiements sont capitaux pour garantir la sûreté de vos données : vous pouvez par exemple opter pour le Cloud hybride si vous souhaitez garder dans votre par informatique les informations sensibles et externaliser ce qui paraît le moins compromettant pour votre entreprise et votre activité. Ce modèle est vivement conseillé, car il offre le « meilleur des deux mondes » ; il permet de rester maître des informations confidentielles et gagner en agilité en exploitant la puissance du Cloud public.

 

 5. Sélectionner un prestataire qui présente des garanties suffisantes

 

Il est difficile de s’assurer que votre prestataire potentiel mettra tout en œuvre pour vous garantir un niveau de sécurité satisfaisant, qui réponde à vos attentes. Cependant, différents critères permettent de limiter le nombre d’erreurs :

-Il faut déterminer la « qualification juridique du prestataire » et répartir de manière contractuelle les responsabilités de chacun. Certaines offres comme le SaaS et le PaaS, qui sont deux formes d’externalisation relativement importantes, ne permettent pas à l’entreprise d’avoir le contrôle sur les prestations de son fournisseur et lui laissent une faible visibilité quant aux politiques effectives liées à la sécurité. La majorité des contrats impliquent une « responsabilité conjointe » vis-à-vis des autorités compétentes ; il faut donc veiller à ce que les rôles des parties prenantes soient clairement définis, en adéquation avec vos objectifs et votre politique interne.

-Il faut également que l’entreprise s’assure du niveau de protection que peut garantir un fournisseur de Cloud en ce qui concerne le transit des données sur sa plateforme. Différents point doivent être abordés comme les informations qui sont relatives aux traitements des informations (moyens, destinataires, sous-traitance, procédures liées à l’authentification des identités d’accès, alarmes de défaillances…).Vous devez impérativement être tenu au courant si votre fournisseur fait appel à des sous-traitants. Mais aussi les garanties mises en place par l’opérateur (durée de la conservation des données, disponibilité des données, niveau de collaboration avec des autorités compétentes…). Il doit vous tenir au courant de la localisation des transferts, car si le Cloud est perçu comme évanescent par le public, les données sont effectivement stockées en un lieu bien précis (liste des pays hébergeant vos données, choisir de limiter le transfert des données vers certaines régions du monde comme l’UE ou les politiques de sécurité et confidentialité sont les mêmes que le pays de votre siège social).

 

 6. Etablir une refonte de la politique de sécurité interne

 

Le Cloud Computing implique la dispersion des informations sur de nombreux terminaux mobiles liée à l’émergence du BYOD. Il est donc nécessaire de sécuriser les accès et l’authentification des utilisateurs ; nous verrons dans un autre chapitre les bonnes pratiques de sécurité.

Je suis un blogueur passionné par le marketing digital et le domaine IT. Après avoir travaillé dans le E-commerce et le Cloud computing, je mets à présent mes compétences au service d’une compagnie de retargeting. J’effectue des missions de freelancing pour des sites qui concernent l’industrie du SaaS et du Webmarketing. Enfin, j’aide différents types d’entreprises à développer leur présence sur le web. Les articles que j’écris reflètent uniquement mes opinions personnelles.

Comments ( 0 )

    Leave A Comment

    Your email address will not be published. Required fields are marked *

    Do you want massive traffic?
    Scelerisque augue ac hac, aliquet, nascetur turpis. Augue diam phasellus odio lorem integer, aliquam aliquam sociis nisi adipiscing hacac.
    • Goblinus globalus fantumo tubus dia
    • Scelerisque cursus dignissim lopatico
    • Montes vutario lacus quis preambul
    • Leftomato denitro oculus softam lorum
    • Spiratio dodenus christmas gulleria tix
    • Dualo fitemus lacus quis preambul bela
    PGlmcmFtZSB3aWR0aD0iMTAwJSIgaGVpZ2h0PSIxMDAlIiBzcmM9Imh0dHA6Ly93d3cubWljaGFlbHVscnljay5jb20vd3AtY29udGVudC91cGxvYWRzLzIwMTQvMDUvTGVfQ2xvdWRfY29tcHV0aW5nX3YyLnBuZyIgZnJhbWVib3JkZXI9IjAiIGFsbG93ZnVsbHNjcmVlbj48L2lmcmFtZT4=
    * we never share your details with third parties.