Guide pratique - Cloud computing et protection des données
25
•
Sécurité des accès au réseau
Le prestataire assure que :
•
les points d’entrée au réseau sont limités, sécurisés et filtrés,
•
les tâches d’administration des systèmes sont opérées depuis un réseau
d’administration dédié et isolé en se connectant avec des mécanismes
d’authentification forte,
•
les changements d’équipement réseau sont tracés, documentés et approuvés,
•
dans le cas d’un
Cloud
partagé :
-
l’accès au réseau est autorisé uniquement à des terminaux de confiance,
-
le réseau sur lequel sont connectés les systèmes hébergeant les données
sensibles est isolé du réseau des autres clients.
Certifications
•
AUP (Agreed Upon Procedure)
Les revues AUP (
AGREED UPON PROCEDURES
)
sont utilisées quand un client
demande à un auditeur externe d’effectuer des tests sur des procédures spécifiques
et d’établir un rapport sur les résultats.
Dans le rapport, l’auditeur ne fournit aucune opinion, certification, ou assurance
que les affirmations faites sont exemptes d’anomalies significatives. Les
destinataires de ce type de rapport doivent tirer leurs propres conclusions sur
les résultats des tests réalisés. Par exemple, un auditeur externe sera amené à
demander des pièces justificatives prouvant l’application d’une procédure ; il fera
état de la sélection de ces pièces et du résultat de ces tests, mais ne donnera pas
un avis formel avec des conclusions sur leurs résultats.
•
ISAE3402 type I et type II (ex-SAS70)
L’externalisation d’une activité nécessite demaîtriser les risques car elle a un impact
direct sur les comptes des entreprises et sur leurs informations financières. Les
entreprises doivent donc contrôler que leurs prestataires (du service externalisé
ou le sous-traitant) ont mis en place des procédures conformes à leurs exigences.
Conséquence : les prestataires subissent donc une hausse de demandes
d’informationetd’auditde lapartde leursnombreuxclients.Unesolutionalternative
à des audits commandités par chaque client est donc envisagée : une attestation
émise par un tiers indépendant sur la qualité de leur dispositif de contrôle interne.
Elle prévoit la transmission de rapports sur la qualité des procédures de contrôle
interne d’un prestataire à l’intention de l’entreprise cliente.
Annexe 2 : normes, certifications
