Now Reading
10 recommandations sécurité Cloud du CESIN
0

10 recommandations sécurité Cloud du CESIN

by Cloud Guru15 juin 2016

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a mobilisé 130 de ses membres pour une réflexion sur la sécurité dans le Cloud.

Il en résulte un communiqué listant 10 recommandations que nous rappelons ci-dessous.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l’émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d’entreprises contre certaines dérives. L’association a confronté ses membres et un panel de spécialistes, dont l’Anssi, la CNIL et des juristes spécialisés, afin d’élaborer 10 recommandations issues de la réflexion et du partage d’expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers   sans   passer   par   la   DSI,   les   grandes   décisions   désormais   d’actualité   en   matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloud, cette migration pose des interrogations cruciales puisqu’elle modifie à la fois les usages, une partie
de la stratégie de la DSI, les politiques de sécurité des systèmes d’information (PSSI) et leurs modes de  contrôle. […]

Les 10 recommandations du CESIN face aux projets Cloud

1- Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.
2- S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.
3- Evaluez le niveau de protection de ces données en place avant externalisation.
4- Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.
5- Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc.
Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
6- Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.
7- A la réception des offres analysez les écarts entre les réponses et vos exigences.
8- Négociez, négociez.
9- Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.
10- Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

Pour en savoir plus :
> le site du CESIN

Pour nous contacter :

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?