©
CIGREF - IFACI - AFAI - Mars 2013
16
•
Les contraintes des charges de travail,
•
La sécurité,
•
La qualité de services et la souplesse contractuelle vis-à-vis des fournisseurs
•
La performance et la disponibilité,
Le tableau ci-dessous donne une première grille de sélection d’une catégorie de
Cloud
en fonction du type de données qui y sera hébergé :
Type de donnée sensible
Catégorie de
Cloud
Externe - Ouvert
Externe - Privé
Interne - Privé
Stratégique
Personnelle
Métier
Usage inadapté de la catégorie de
Cloud
pour le type de données concerné
Usage à déterminer en fonction des résultats de l’analyse de risques
Usage adapté de la catégorie de
Cloud
pour le type de données concerné
Comment choisir le prestataire ?
La plupart des offres
Cloud
proposées sur le marché sont « standard ». L’entreprise
doit donc évaluer si les offres envisagées répondent aux exigences de sécurité
préalablement définies en interne :
•
Si l’entreprise dispose d’un cadre de contrôle interne relatif à la protection de
données, elle doit le communiquer au prestataire,
•
En l’absence d’un tel référentiel, elle peut s’appuyer sur des questionnaires
d’évaluation fournis par des organismes de normalisation reconnus (voir
exemples en annexe) ou sur des certifications (ISO 27001) et /ou des attestations
(
ISAE3402, SOC 1 & 2, …).
Le prestataire doit être capable d’apporter des garanties suffisantes notamment
sur les mesures de sécurité et de confidentialité appropriées. Il doit également
être transparent par rapport aux moyens employés.
Lors du choix du prestataire, il est primordial de :
•
Déterminer la qualification juridique de la prestation, sachant que le prestataire
peut être conjointement responsable du traitement en s’interrogeant sur :
-
la juridiction de référence,
-
la collecte des données,
-
l’usage des données
•
S’assurer de la localisation des données
