Guide pratique - Cloud computing et protection des données
5
Synthèse
Avec la révolution numérique, l’information est devenue l’une des principales
richesses de l’entreprise, à condition toutefois qu’elle soit maîtrisée, c’est-à-dire
collectée, validée, stockée, sécurisée, aisément accessible aux seules personnes
intéressées, traitée et agrégée pour des prises de décision avisées. La protection
de cette information est au cœur des préoccupations des entreprises. C’est
une problématique en soi, tous les jours un peu plus prégnante, du fait du
développement pléthorique des données, structurées et non structurées, et du
renforcement des contraintes réglementaires. Le contexte spécifique du
Cloud
,
où les données sont hébergées à l’extérieur de l’entreprise, exacerbe cette
préoccupation.
Le mouvement vers le
Cloud
semble inéluctable, il ne s’agit pas ici de s’y opposer,
mais d’alerter et d’inciter les entreprises qui font ce choix, de le faire avec la
certitude que leurs données seront correctement protégées. Le CIGREF, l’IFACI et
l’AFAI se sont conjointement mobilisés pour concevoir ce guide, dont l’objectif
est de sensibiliser tous les acteurs de l’entreprise, et en particulier les dirigeants,
directeurs Métiers, auditeurs, à la problématique de la protection des données,
personnelles et sensibles, dans les projets
Cloud
.
Le groupe de travail a réuni des
représentants des trois associations, issus de DSI, de directions de l’audit interne,
et de cabinets d’audit et de conseil.
L’approche commune s’articule autour de quatre messages clés :
•
Le
Cloud
présente de nombreux avantages d’agilité, de souplesse et de
réduction des coûts, mais l’offre actuelle de
Cloud
est susceptible d’exposer les
entreprises à des risques sur leurs données
•
Il est important de s’engager dans le
Cloud
avec ses différentes parties
prenantes : les Métiers, la DSI, les Achats, l’Audit interne, le Juridique, le
Risk
Management
,
le Contrôle Interne…
•
Il est important de se poser les bonnes questions pour faire les bons choix :
quel
Cloud
pour quel usage ?
•
Il faut mettre en place un environnement de contrôle adapté pour assurer
la protection des données dans le respect du cadre contractuel défini avec le
fournisseur.
Ce document vise à apporter un service concret aux entreprises prêtes à s’engager
dans le
Cloud
,
avec des exemples pratiques (questions à se poser avant de prendre
la décision, clauses contractuelles, objectifs de contrôle opérationnel…). Il s’adresse
certes aux acteurs de l’entreprise (Directions Générales, Directions Métiers) mais
aussi aux fournisseurs de solutions
Cloud
,
qui doivent mieux prendre en compte
cette problématique de protection des données et renforcer leurs garanties en la
matière.
