Cloud : dix recommandations avant de se lancer

Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient d’émettre dix conseils à l’intention des DSI avant de se lancer dans un projet Cloud. Pour beaucoup, ces recommandations pourraient sembler relever du simple bon sens. Mais celui-ci ne semble pas systématiquement présider aux décisions de passage au Cloud, à plus forte raison lorsque celles-ci se font à l’insu des directions. Alain Bouillé, président du Cesin, souligne d’ailleurs que « l’arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l’entreprise car les données concernées sont bel et bien des données de cœur de métier ».

Dès lors, pour les membres du club, il convient tout d’abord d’estimer la valeur des données à externaliser ainsi que leur attractivité pour les cybercriminels. Les données sensibles – et plus – devant faire l’objet d’une étude par la direction générale.

Le Cesin recommande en outre d’évaluer le niveau de protection en place pour les données pressenties pour l’externalisation avant de lancer le projet. Et quoi « adapter les exigences de sécurité dans le cahier des charges de l’appel d’offre », en tenant compte de la sensibilité des données et de leur attractivité. Dès lors, le club conseille de conduire « une analyse de risque du projet en considérant les risques inhérents au Cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l'utilisation, etc. ». Mais le Cesin n’oublie pas les risques liés à la production, comme la dépendance au fournisseur et la réversibilité ou encore la disponibilité et l’accessibilité.

Et si, pour beaucoup, les offres de services Cloud apparaissent liées à des contrats d’adhésion rigides, le club insiste : « exigez un droit d’audit ou de test d’intrusion de la solution proposée » – à exercer de préférence avant le démarrage du service. Et, « à la réception des offres analysez les écarts entre les réponses et vos exigences ». Surtout : « négociez, négociez ».

Enfin, le Cesin recommande de faire valider son contrat par un juriste, contrat qui « doit être rédigé en français et en droit français ». Et de rappeler que l’Agence nationale pour la sécurité des systèmes d’information (Anssi) doit rendre public son référentiel sur le Cloud d’ici la fin du mois de juin.