Dans le schéma ci-dessus, le collaborateur définit toute personne, quel que soit son statut, qui travaille pour votre entreprise et qui a accès à votre système d’information en local ou à distance.
Les données regroupent tous les types de données gérées par l’entreprise. Certaines catégories de données nécessitent une vigilance particulière :
Il est ainsi impératif de se poser les questions pour estimer le niveau de sécurité offert par votre fournisseur de services afin de choisir la meilleure offre.
Le recours à un expert certifié et reconnu du cloud peut être très utile pour prendre les bonnes décisions, connaître les services de sécurité fournis en standard ou en option ou encore vérifier les clauses prévues au contrat et leurs niveaux de protection.
Comment choisir des services cloud sécurisés ? Les points clés à vérifier
La fiabilité de votre fournisseur
Veillez à choisir un prestataire qui saura détailler les risques associés au service cloud et préciser dans ses engagements contractuels, la responsabilité de chaque partie en cas de sinistre.
Vous devez aussi estimer la capacité d’intégration de votre fournisseur, sa capacité à innover, à proposer des évolutions, des mises à jour régulières, des patchs correctifs de sécurité.
Et n’hésitez pas à demander des références clients !
Les certifications et le niveau de conformité offerts
La sécurité dans le cloud ne s’improvise pas. Il existe toute une série de certifications permettant de garantir la fiabilité d’un fournisseur cloud :
- ISO 27001 : norme de management de la sécurité de l’information pour l’IaaS, le PaaS, ou le SaaS ;
- Certification HDS pour les hébergeurs de données de santé (IaaS et PaaS) ;
- ISO 27017 et ISO 27018 pour les infrastructures IaaS ;
- Certifications Tiers (I,II,III,IV) de l’Uptime Institute pour la sécurité des centres de données (IaaS) ;
- La conformité RGPD pour tous les fournisseurs cloud ;
- Et enfin le SecNumCloud, délivré par l’ANSSI, qui facilite l’identification des prestataires de services cloud de confiance, quel que soit leur type.
Les niveaux de services (SLA)
L’accord de niveau de service (ou SLA pour Service-Level Agreement) est un document qui définit la qualité de service prescrite entre un fournisseur de service et son client. Idéalement, ces niveaux de services sont rendus publics. Ils permettent de mesurer la disponibilité du service et les temps de résolution des incidents.
Par exemple, le taux de disponibilité annuelle d’un centre de données Tiers III doit être à minima de 99,982 %, le taux de disponibilité mensuelle de vos comptes de stockage doit être de 99,9 % équivalent à Tiers III, le temps de résolution d’incident doit être à minima de 8 h etc.).
Attention : les SLA des fournisseurs cloud offrent des garanties de performance qui sont axées sur leurs services et non sur vos applications. Si l’une de vos applications tombe en panne à cause d’un seul service cloud, la compensation des temps d’arrêt, due pour le seul service défaillant ne couvrira pas l’éventuelle perte commerciale issue de l’arrêt du service.
La localisation des données
Où sont localisées vos données, en France, en Europe ? Ou ailleurs, par exemple aux États-Unis. C’est un point d’importance. Alors qu’en Europe, vos données sont protégées et encadrées par le RGPD, si vos données sont localisées aux États-Unis ou par une entité juridiquement dépendante des États-Unis, elles seront soumises au Patriot Act et au Cloud Act.
Le Patriot Act permet aux autorités américaines d’accéder à toutes vos données personnelles, dans le cadre d’une investigation.
Le Cloud Act permet à un fournisseur cloud américain d’exploiter librement vos données, et ce, jusqu’à ce qu’une décision d’adéquation soit mise en place entre l’U.E et les États-Unis, quant à la limitation proportionnées de l’accès aux données des citoyens européens. Ce qui n’est pas encore le cas.
A noter : le référentiel SecNumCloud permet une protection empêchant l’accès aux données de clients, par un fournisseur de service Cloud soumis à des réglementations non-européennes. En savoir plus :
La disponibilité des services et de la documentation
Les services Cloud proposés sont –ils disponibles partout dans le monde ? Seulement dans une région particulière ? L’affichage de la disponibilité des services cloud doit être clair, précis et facilement accessible en ligne.
La documentation relative aux services cloud est-elle disponible en ligne ? Sur tous les services fournis ? Dans quelles langues est-elle accessible ? En français, en anglais, ou une autre langue ?
Le conseil de l’expert
Il est essentiel de déterminer en amont du choix de votre prestataire et du type de contrat que vous allez souscrire :
- ce que vous souhaitez réellement mettre en place dans le Cloud (données, applications ?…) ;
- le type de services que vous allez utiliser (IaaS, PaaS, SaaS)
- et si vous avez besoin d’un cloud public ou d’un cloud privé.
Ces éléments vous aideront à définir le niveau niveau de sécurité et d’engagement de responsabilité nécessaire et faciliteront le choix du prestataire.
Pour limiter les risques, il peut-être judicieux de commencer par mettre en place dans le cloud, une petite infrastructure, un service limité, une plateforme circonscrite… pour tester le prestataire, l’architecture, ou la solution avant d’investir davantage.
Article rédigé par B2CLOUD, Activateur France Num. B2CLOUD est expert de l’informatique en nuage.
.
