Guide pratique - Cloud computing et protection des données
17
•
Evaluer le niveau de protection que le prestataire assure aux données
traitées (confidentialité, intégrité, disponibilité, traçabilité) :
-
par une exploitation sécurisée et efficace : sécurisation physique des locaux,
sécurisation de l’infrastructure technique, gestion des incidents, gestion des
changements, gestion et sauvegarde de la configuration, tests de sécurité,
chiffrement des communications, journaux, redondance des moyens, gestion
des identités, gestion des accès distants, procédures de surveillance et
d’audit…
-
par une confirmation de la localisation des données,
-
par un personnel formé et expérimenté (politique d’embauche, de formation,
encadrement des accès privilégiés, recours à des sous-traitants ou à des
tiers…),
-
par une définition explicite des niveaux de service (SLA, pilotage, support et
assistance, escalade…),
-
par l’assurance de la localisation des opérateurs.
Il faut également vérifier la possibilité d’exporter ses données (avec effacement
total) afin de ne pas se retrouver ensuite dépendant de ce fournisseur.
L’établissement d’un Plan d’Assurance Sécurité
1
(
PAS) approprié pourra être requis
en fonction de la criticité des données, telle que définie dans l’analyse de risques.
Quel impact sur la politique de sécurité interne ?
Les problèmes de sécurité générés par le
Cloud
sont ceux déjà rencontrés dans
l’utilisation quotidienne d’Internet par les entreprises, en particulier le problème
de la confidentialité des échanges. Le passage au
Cloud computing
met en évidence,
voire amplifie, les failles de sécurité préexistantes en local.
Avant tout déploiement de SI basé sur le
Cloud
,
le client doit disposer d’une
infrastructure saine et fonctionnelle : vérifier et optimiser la sécurisation de ses
données, de son infrastructure et de son réseau avant de passer au
Cloud
(
antivirus,
antispywares, monitoring réseau…). Il faut également faire évoluer les procédures,
notamment en ce qui concerne les accès.
L’entreprise doit définir des critères de choix du prestataire à partir de l’analyse de
risques : « quel niveau de service pour quelles données ? ».
Idéalement, le projet ne doit démarrer qu’une fois le contrat signé. Dans la pratique,
la finalisation contractuelle, qui est souvent une opération longue, peut s’achever
après le démarrage du projet.
1
Source : « Maîtriser les risques d’infogérance » - Chapitre 4 :
-
ANSSI
2010
Recommandations contractuelles relatives
à la protection des données
