Les 3 étapes clés pour auditer son cloud public

Grâce au cloud public, l'audit n'est plus ponctuel mais en temps réel. Les outils de machine learning permettent d'aller au niveau supérieur, en détectant des comportements inhabituels, saisonniers ou ponctuels.

1.   Choisir son référentiel des risques

Côté sécurité, de nombreux référentiels sont accessibles : le CIS (Center for Internet Security), le PCI-DSS (Norme de sécurité de l’industrie des cartes de paiement) ou encore l’ISO 27001 qui mène sur une certification existent déjà peuvent être cités. Il est beaucoup plus ardu de trouver un référentiel concernant l’excellence opérationnelle ou la gestion des coûts. Il est pourtant essentiel de s’intéresser au 5 piliers de bonne architecture.

Une excellente alternative est la création de son propre référentiel de risques pour répondre à ses propres besoins, sans avoir trop d’options, ni pas assez.

2.   Prioriser les risques

Il n’est pas possible de résoudre 100 % des risques rapidement. Il est donc indispensable de prioriser les risques de 3 à 5 niveaux, idéalement : faible, sensible, élevé, majeur et critique. Cette notation doit tenir compte de l’impact financier, de l’impact perçu par les utilisateurs et de la probabilité (qui doit être notée sur le même nombre de niveaux que la criticité : rare, possible, probable, très probable et fréquent)

Grâce à une échelle de notation, il est désormais possible de qualifier ces niveaux en se basant sur ses indicateurs métiers. Une phase d’étude propre à votre entreprise, à votre capital, à vos KPI et vos clients est nécessaire au début de l’audit. La mise en place d’un tableau de bord des risques entièrement personnalisable permet de travailler dans de bonnes conditions.

3.   Construire ses matrices

Le tableur est le meilleur allié de l’audit du cloud. Néanmoins, ce n’est pas la meilleure solution pour présenter et visualiser le résultat de l’audit. C’est à cela que servent les matrices : elles représentent l’analyse et sont d’ailleurs un excellent moyen de comparer deux audits.

Pour bien démarrer et s’améliorer, rester dans le noir n’est pas une option. Une vision claire de votre situation doit passer par un audit, que celui-ci soit fait en interne ou bien à l’aide d’un tiers.