le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

8juin 2016

 

le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

 

Face à l'adoption massive des offres Cloud, le Club des Experts de la Sécurité de l'Information et du Numérique 
se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».


 (Source PR corporate)

 Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d'externalisation des données, il est fondamental pour le Cesin d'adopter une gestion des risques et de sécurité adaptée pour continuer d'assurer une protection efficace et cohérente des données de l'entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l'émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d'entreprises contre certaines dérives. L'association a confronté ses membres et un panel de spécialistes, dont l'Anssi, la CNIL et des juristes spécialisés, afin d'élaborer 10 recommandations issues de la réflexion et du partage d'expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloudcette migration pose des interrogations cruciales puisqu'elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d'information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L'arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l'entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d'auditer les solutions, ou encore les risques d’enfermement et donc l'irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.


Charles Schulz, membre du bureau
 de la politique industrielle à l'Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d'en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l'ANSSI sur le Cloud est prévue pour le second trimestre 2016.


Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?...). Garance Mathias, précise en outre qu' « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

 

Les 10 recommandations du CESIN face aux projets Cloud

 

  1. Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.

  2. S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.

  3. Evaluez le niveau de protection de ces données en place avant externalisation.

  4. Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.

  5. Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l'utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.

  6. Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.

  7. A la réception des offres analysez les écarts entre les réponses et vos exigences.

  8. Négociez, négociez.

  9. Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.

  10. Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

A propos du CESIN

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l'information et du numérique.

Le CESIN est un lieu d'échange de connaissances et d'expériences qui permet la coopération entre experts de la sécurité de l'information et du numérique et entre ces experts et les pouvoirs publics.

Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences.

Il participe à des démarches nationales dont l'objet est la promotion de la sécurité de l'information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels.

Le CESIN réunit plus de 250 membres issus de tous secteurs d’activité publics et privés : des membres actifs, responsables de la sécurité de l'information dans leur organisation, des membres associés, représentants de diverses autorités en charge de Sécurité de l'Information au plan national, des juristes experts de la sécurité IT.

 

  MG 9439

FIC 2015: atelier cyberiques avec des membres du CESIN animé par @jpbichard 

 

BONUS :

www.cesin.fr

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires