contrats cloud : une stratégie de sécurité multiple

Une entreprise utilisant des services dans le Cloud devrait mettre en place les moyens nécessaires pour s’assurer de la sécurité des données mises dans le nuage. Cette démarche doit être mise en place pour chacun des fournisseurs utilisés.

Vous allez me dire que « oui, bien sûr, nous avons un contrat en place avec chaque fournisseur de services Cloud ! ». Mais celui-ci intègre-t-il bien les aspects relatifs à la sécurité ? Et au-delà de ce que vous avez pu (ou pas) mettre dans le contrat, quels sont les moyens que vous avez prévu pour vérifier que tout est effectivement mis en place ? Subitement, je vous sens un peu moins sûr de votre réponse…


[FR] opter pour une stratégie de sécurité... par orange_business

en interne les contrats sont « plus ou moins » définis et la sécurité portée en central

Lorsque qu’une entreprise possède ses propres infrastructures et systèmes d’information elle est autonome. Il y avait donc une sorte de « contrat de service interne » entre la direction informatique et les unités d’affaires et plus globalement la direction ou les actionnaires. Ce « contrat interne » est plus ou moins formalisé et l’objet d’un suivi plus ou moins rigoureux.

Pour ce qui concerne la sécurité le contrat interne, s’il existe, n’intègre rien de spécifique quant à la sécurité : ces points sont portés dans un seul et unique document identifié sous le nom de « politique de sécurité ».

Et si quelque chose doit changer dans ce contrat interne cela se décide lors d’un comité de direction ou alors de façon arbitraire par décision unilatérale du « grand chef à plumes d’en haut ».

avec le Cloud les contrats sont « figés »

Avec le Cloud, une entreprise passe donc d’une situation « mono-contrat interne au contenu ajustable » à une situation « contrats externes multiples aux contenus figés ».

Et oui : avec le Cloud, une entreprise se retrouve dans une situation nettement plus complexe. Ce n’est plus un seul et unique contrat qui doit être mis en place et qui doit être suivi dans le temps mais autant de contrats qu’il y a de prestataires. Une fois le contrat signé, il n’est pas question d’en changer le contenu comme il est possible de le faire avec un « contrat interne ».

Tout de suite c’est plus lourd… pour les entreprises qui prennent la peine de regarder les choses de près… car certaines, les plus petites d’entre-elles, ne regardent que rapidement les termes du contrat et ses limitations : si le service a un bonne réputation, un prix bien positionné et les fonctionnalités qui vont bien, l’affaire est vite faite. Ce n’est que lorsque les problèmes arrivent que les choses se compliquent nettement.

une danse en 4 temps

Afin d’éviter toute complexité qui serait anti-productive et qui irait contre les principes du Cloud, une entreprise doit donc mettre en place un cadre d’action en interne de sorte à faciliter la souscription de services en mode Cloud tout en conservant une bonne maîtrise de la sécurité de son capital informationnel.

Cette démarche se compose de 4 grandes étapes :

  1. Une politique de sécurité interne pour cadrer ses besoins et définir ce qui va être demandé (ou pas) à ses fournisseurs.
  2. Des équipes en charge d’évaluer les fournisseurs sur la base de critères précis (cf le point précédent).
  3. Une contractualisation adaptée. Il est essentiel de mettre au contrat ce que l’entreprise attend en terme de sécurité de la part de son fournisseur et qu’elle précise le partage des rôles entre elle et le fournisseur.
  4. Assurer un suivi dans le temps. Car définir des règles et les inscrire au contrat c’est bien, faire appliquer ce qui a été défini c’est mieux ! Et il vaut mieux vérifier de temps à autre que le travail est bien fait par le fournisseur que d’attendre un incident pour découvrir un pot aux roses pas fameux…

ce qu’il faut retenir

Chaque fournisseur de services Cloud étant par définition unique, il est donc important de s’assurer en amont du niveau de sécurité des services qu’il propose. Bien définir ses besoins en amont pour demander ce qui est essentiel et éviter les demandes accessoires : cela permettra de se focaliser sur les points critiques et facilitera tant leur contractualisation que leur vérification durant la vie du contrat.

Jeff

crédit photo : © Gina Sanders - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens