©
CIGREF - IFACI - AFAI - Mars 2013
20
Plan de réversibilité
Pour assurer une pérennité des services de
Cloud
,
il s’avère primordial de
contractualiser un plan de réversibilité permettant de transférer les services
à d’autres prestataires ou de les réintégrer dans l’entreprise. Ce plan prévoira
notamment les facteurs déclencheurs de cette réversibilité (carence du prestataire,
libre choix du client à échéance du contrat après un certain nombre d’années…),
les conditions de cette réversibilité (simple discontinuité du service, arrêt total du
service…) et le coût de celle-ci pour l’entreprise.
La mise en œuvre de la réversibilité devra inclure la suppression des données par
le prestataire sur ses moyens propres.
Pour assurer le respect des engagements contractuels, le client doit disposer de
moyens de pilotage et de suivi opérationnel.
Le prestataire de services
Cloud
doit être en mesure de fournir des éléments de
preuve suffisants à son client, à travers un dispositif de contrôle efficace et testé
par des auditeurs indépendants. Le prestataire doit pouvoir communiquer ces
éléments aux acteurs concernés (la direction, les auditeurs internes, les clients ou
les régulateurs) et démontrer ainsi que le niveau de protection des données est
satisfaisant.
Cette démonstration peut se concrétiser par la publication de « Rapports
d’assurance » de type ISAE 3402.
Structurer la gouvernance de la prestation
Dans la phase de mise en œuvre, il est nécessaire de déployer une gouvernance
avec des responsabilités clairement définies et suivies lors de réunions du comité
de pilotage. Les questions relatives à la protection des données doivent être plus
spécifiquement suivies par un comité de sécurité.
Un comité de sécurité régulier doit être mis en place entre le client et le prestataire,
et animé par les correspondants sécurité des deux parties pour traiter des sujets
suivants :
•
la conformité des services de sécurité (patchs sécurité, anti-virus…),
•
la gestion du risque opérationnel (identification, évaluation, remédiation) et
le suivi des actions de remédiation des vulnérabilités critiques identifiées,
•
les incidents, les intrusions et leur traitement,
•
la gestion des contrôles, des audits et des rapports d’assurance (planification,
périmètre, certification).
Mise en œuvre et pilotage de la protection des données
