Guide pratique - Cloud computing et protection des données
23
Annexes
Annexe 1 : objectifs de contrôle
En matière de protection de données, on peut distinguer cinq familles de contrôle :
1.
les données sensibles : le prestataire doit mettre en œuvre, de façon
cohérente, les processus en matière de sécurité, gestion du personnel,
inventaire, qualification et traçabilité des données,
2.
les
datacenters
:
le prestataire doit disposer d’une gestion sécurisée des
accès physiques aux datacenters,
3.
la sécurité des accès logiques : le prestataire doit disposer de contrôles
d’accès logiques assurant la protection des données sensibles,
4.
la sécurité des systèmes : le prestataire doit disposer de systèmes
correctement configurés et protégés des failles de sécurité, en particulier pour
les environnements hébergeant les données sensibles,
5.
la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé
avec une isolation appropriée des autres clients.
Pour chacun de ces objectifs, des activités de contrôle doivent être réalisées.
A titre d’exemple, sont listées ci-dessous des activités de contrôle pour chacun de
ces objectifs.
•
Données
Le prestataire assure que :
•
la localisation des données sensibles du client est connue et conforme
aux exigences du client (
datacenter
et serveur),
•
les systèmes de sauvegardes et plans de secours informatiques associés
sont mis en œuvre,
•
il dispose d’un code d’éthique appliqué par son personnel et il n’exerce
pas des activités pouvant entrainer un risque de conflits d’intérêt,
•
son personnel suit régulièrement des formations de sensibilisation à la
sécurité,
•
il dispose de moyens de traçabilité centralisés permettant de détecter
des violations de privilèges ou des comportements malveillants,
•
il dispose d’une gestion des incidents de sécurité incluant la détection,
l’alerte, le traitement jusqu’à la résolution, l’identification des causes et la
communication au client.
