Guide pratique - Cloud computing et protection des données
21
Définir et mettre en place les mesures de protection exigées
•
Périmètre des contrôles par rapport aux services fournis
Le client doit vérifier que le périmètre de contrôle du prestataire couvre bien le
service demandé. Il est possible, par exemple, que le prestataire n’ait mis en œuvre
qu’un sous-ensemble des activités de contrôle attendues.
Atitred’exemple, unprestatairepeut avoirmis enœuvredes activités de contrôle en
matière de sécurité physique et environnementale, ainsi qu’en matière de sécurité
réseau mais très peu en matière de sécurité logique, parce que le prestataire avait
historiquement un métier d’hébergeur (IaaS) et a peu de maturité en matière de
service logiciel (SaaS). Dans ce cas, le prestataire disposera d’un rapport, qui est
un gage de sécurité physique, mais qui ne couvre pas les activités de contrôle liées
aux accès logiques.
•
Objectifs et activités de contrôle
En matière de protection de données, on peut distinguer cinq familles d’objectifs
de contrôle (détaillées dans l’annexe 1) :
1.
les données sensibles : le prestataire doit mettre en œuvre, de façon
cohérente, les processus en matière de sécurité, gestion du personnel,
inventaire, qualification et traçabilité des données,
2.
les
datacenters
:
le prestataire doit disposer d’une gestion sécurisée des
accès physiques aux datacenters,
3.
la sécurité des accès logiques : le prestataire doit disposer de contrôles
d’accès logiques assurant la protection des données,
4.
la sécurité des systèmes : le prestataire doit disposer de systèmes
correctement configurés et protégés des failles de sécurité, en particulier pour
les environnements hébergeant les données,
5.
la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé
avec un isolement approprié des autres clients.
Assurer le suivi de la prestation
Le suivi de la prestation implique que le client :
•
suive et contrôle les indicateurs de niveau de service de sécurité transmis par
le prestataire à l’occasion de chaque réunion du comité sécurité,
•
analyse les rapports d’assurance du prestataire,
•
active la clause d’audit (notamment la capacité du client à réaliser des tests
d’intrusion permettant de mesurer la robustesse effective de la sécurité de la
prestation) et l’organiser en coordination avec le prestataire.
