La conformité dans le cloud : 6 questions à poser à votre fournisseur

Avec des actifs évoluant sur un nombre croissant de plateformes cloud, les entreprises sont forcées d’examiner scrupuleusement comment leurs données sont hébergées de manière à rester en bonne conformité avec les lois.

A un moment ou à un autre, les entreprises qui souhaitent migrer leurs applications et leurs données dans le cloud vont être amenées à se poser la question suivante : comment garantir les mêmes standards de sécurité et de conformité dans le cloud que sur leurs propres infrastructures IT internes ? Plus de 66% des entreprises sont soumises à des règlementations gouvernementales ou du marché, et 71% ont des règles de sécurité internes qui exigent la visibilité de tous les changements IT. Evidemment, les fournisseurs de cloud assurent que leur technologie est suffisamment mature pour répondre à tous les enjeux de sécurité. Mais garantir l’intégrité des données dans le cloud et assurer la conformité dans le cadre des audits restent parmi les premières préoccupations des entreprises lorsqu’elles sont à la recherche d’un fournisseur cloud.

Une attention toute particulière doit être donnée à l’évaluation des fournisseurs cloud avant de leur confier vos données. Ne serait-ce que parce qu’en tant que propriétaire des données, ce sera votre responsabilité – et non celle du fournisseur – qui sera engagée en cas de faille de sécurité. Voici les 6 questions que nous vous recommandons de poser pour vous assurer qu’un fournisseur est capable de garantir que vos données seront protégées et conformes dans le cloud :

Question 1 : Connaissez-vous suffisamment bien votre fournisseur cloud ainsi que les services qu’il propose ?

Il est impératif que votre fournisseur soit en mesure de répondre aux besoins spécifiques de votre métier et de votre marché. Demandez-lui quels sont les standards de régulation qu’il respecte, où se trouvent physiquement ses serveurs, sa politique en ce qui concerne le stockage de données et leur suppression, mais aussi quels outils de sécurité et d’analyse il utilise pour rester en conformité. N’oubliez pas de demander à quelles procédures il a recours en cas d’incident de sécurité, vol de données ou lors d’une interruption de services. Il est également important de savoir si le fournisseur peut vous offrir davantage de services de sécurité. En somme, avant de confier vos données à un tiers, commencez par bien le connaitre.

Question 2 : Est-ce que le contrat avec votre fournisseur cloud répond entièrement à vos besoins ?

Lire le SLA n’est pas suffisant. Il est important de vérifier toutes les conditions qui figurent sur votre contrat. S’assurer qu’il stipule clairement la responsabilité du fournisseur et détaille qui est responsable de quoi. Aussi, assurez-vous que le contrat est suffisamment flexible pour effectuer des changements éventuels et s’adapter dans le temps – par exemple, lorsqu’une règlementation est mise à jour. Le contrat doit également spécifier des processus d’audit et de contrôles, et inclure des éléments tels que votre droit à contrôler la conformité du fournisseur et sa capacité à assurer la confidentialité de vos données.

Question 3 : Allez-vous disposer de fonctionnalités avancées de gestion des identités et de contrôle des accès ?

Près de 69% des entreprises sont préoccupées par les accès non autorisés à leurs données dans le cloud. Afin de réduire ce risque, les clients de services cloud devraient être en mesure de surveiller toutes les demandes d’accès aux données, quel que soit le rôle de l’utilisateur, et le respect du principe du moindre privilège des deux côtés (fournisseur et client). Les mesures de sécurité dans le cloud doivent s’appuyer sur l’authentification forte, une démarcation claire des obligations pour le personnel administratif, la signature digitale et des mots de passe régulièrement modifiés.

Question 4 : Vos données sont-elles encryptées ?

L’encryptage est très important parce que cela signifie que vos données sont protégées même si elles tombent entre de mauvaises mains. Un grand nombre de standards de règlementation imposent l’encryptage des données. Assurez-vous que l’encryptage est utilisé pour toutes vos données et tout le temps – pour les données en transit, en utilisation et en veille. Aussi, il est important de vérifier que les clés d’encryptage soient régulièrement mises à jour et placées à un endroit différent de celui où se trouvent les données encryptées. Cela peut paraitre évident, mais vous seriez surpris d’apprendre le nombre de fois où ces procédures de bon sens sont ignorées.

Question 5 : Avez-vous suffisamment de visibilité sur ce qui se passe sur votre infrastructure IT ?

Plus de 60% des entreprises considèrent la visibilité dans le cloud très importante pour assurer la sécurité. Plus l’entreprise est grande et plus cela devient primordial. C’est pourquoi l’analyse comportementale peut aider, en fournissant des données cruciales sur qui fait quoi, quand et où dans l’infrastructure IT. Pour s’assurer que seules les personnes autorisées accèdent aux données sensibles, il est nécessaire de suivre et d’enregistrer en continu tous les changements dans la configuration du système et les autorisations des utilisateurs, ainsi que toutes les tentatives d’accès, réussies ou non. Une attention particulière doit être portée sur les activités des utilisateurs ayant des accès privilégiés pour éviter l’abus de ces privilèges. Votre fournisseur cloud doit également s’engager à effectuer un audit complet de toutes les activités sur votre système pour prouver qu’aucune violation des règles de sécurité n’a eu lieu.

Question 6 : Savez-vous qui partage quels fichiers et avec qui ?

En plus de la visibilité sur les changements effectués par les utilisateurs privilégiés du côté du fournisseur cloud, les entreprises doivent être en mesure de voir les changements effectués par leurs propres employés. L’une des menaces les plus importantes en interne reste le partage malveillant ou non intentionnel de fichiers. Les entreprises doivent donc être capables de visualiser les permissions et identifier les données surexposées et les utilisateurs qui bénéficient d’accès trop privilégiés.  Parallèlement, il est important de trouver un équilibre entre la protection des données et l’accès aux datas, car trop de contraintes peuvent inciter les utilisateurs à contourner les mesures de sécurité et trouver d’autres moyens plus pratiques de partager les dossiers.

En résumé, les principales raisons pour lesquelles les entreprises sont encore très méfiantes pour utiliser les services cloud sont l’intégrité et la confidentialité des données. Des inquiétudes qui sont tout à fait justifiées. Certaines technologies cloud font miroiter des opportunités intéressantes aux entreprises pour élargir leur marché rapidement et à un tarif compétitif. Mais sans le travail préparatoire nécessaire, cela peut être très dangereux. Il est donc indispensable que vous attachiez une grande importance à la vérification des règles du fournisseur, ses outils, le contrat et les contrôles proposés, mais aussi vérifier vos propres règles de sécurité internes. Surtout, assurez-vous d’avoir toujours une visibilité totale sur tout ce qui se passe dans votre environnement cloud. Alors, seulement à ce stade de connaissance, vous pourrez adopter les services cloud en toute sécurité et en toute confiance.