Guide pratique - Cloud computing et protection des données
13
Comme tout dispositif de maîtrise des risques, la protection des données
requiert :
•
des objectifs clairs,
•
le support du management,
•
l’implication de toutes les parties prenantes (métiers et fonctions support
groupe),
•
une gouvernance (comités, rôles et responsabilités) appropriée,
•
un plan d’action détaillé spécifiant les ressources et budget,
•
un suivi du plan d’action.
Une implication responsable des
propriétaires des traitements et des données
est indispensable en matière :
•
d’identification et d’évaluation des risques,
•
de qualification des données,
•
de gestion des autorisations d’accès aux applications,
•
de conception, de mise en œuvre, de test et de suivi de l’efficacité des
contrôles associés.
La DSI est, quant à elle, impliquée dans la sécurisation :
•
des applications,
•
des bases de données et des systèmes,
•
du réseau,
•
des infrastructures,
•
de la conception, de la mise en œuvre et du suivi de l’efficacité
des contrôles.
L’audit interne contribue à la maîtrise de l’usage du
Cloud
en évaluant
notamment :
•
le processus de sélection,
•
le référentiel de contrôle du prestataire,
•
la gouvernance de la prestation, y compris par l’exécution de la clause
contractuelle d’audit.
Avant de mettre en place une solution
Cloud
dans l’entreprise, il est nécessaire de
répondre aux questions suivantes.
Quels sont les traitements et les données susceptibles de migrer
vers le
Cloud
?
Lapremièrequestionàseposer avantdesouscrireuneoffreconcerne l’identification
des données qui seront hébergées dans le
Cloud
et de leur traitement. Certains
types de données sont en effet soumis à des exigences réglementaires ou Métiers
particulières, qu’il faut alors identifier avant de valider leur transfert dans le
Cloud
.
Questions à se poser avant de souscrire une offre
Cloud
