Le cloud a pendant longtemps été perçu comme un risque pour les données.
Après des années de maturation, et poussés par une demande accrue du
marché, les principaux CSP (Cloud Service Provider) ont donc bâti des
plateformes plus solides que ce que la plupart des entreprises peuvent
se targuer de posséder en interne. Malgré tout, face à la multitude de
solutions disponibles, les responsables IT peinent parfois à identifier
le partenaire le plus à même d’héberger leurs données en toute sécurité.
Pour y voir plus clair, voici 5 règles d’or que tout bon prestataire se
doit de respecter.
Règle n°1 : centralisation
Après l’âge d’or du mainframe, l’informatique s’est tournée vers un
modèle essentiellement distribué et décentralisé. Une transformation qui
a permis aux utilisateurs de gagner en productivité mais qui a généré
de véritables défis en termes de sécurité. Il suffit pour s’en
convaincre de considérer le nombre de DSI qui bataillent quotidiennement
pour sécuriser l’utilisation des appareils mobiles ou limiter le shadow
IT. Une plateforme de gestion de contenus dans le cloud, comme celle
que peut proposer Box, permet de recentraliser l’information, de façon à
mieux la contrôler et à réduire au maximum la surface d’attaque à
protéger. Tout l’arsenal de défense contre les intrusions (DLP, SIEM,
chiffrement…) peut être concentré sur ce périmètre. Les utilisateurs et
terminaux accédant à la plateforme peuvent également être facilement
authentifiés et l’utilisation des données maîtrisée grâce à l’importante
granularité des autorisations.
Règle n°2 : confidentialité
Si l’accès non autorisé aux données de l’entreprise doit évidemment être
parfaitement verrouillé, l’utilisation des informations par le
fournisseur doit lui aussi être strictement encadré. Pour assurer le bon
fonctionnement de la solution, celui-ci doit accéder à certaines
informations, qu’il s’agisse de renseignements fournis par le client
pour la création de comptes ou à des fins de communication par exemple,
comme d’informations collectées automatiquement pour surveiller l’état
du service. La collecte, l’utilisation, le stockage ou encore le
transfert à des tiers de ces informations ne peut se faire qu’en toute
transparence vis-à-vis de l’utilisateur et avec son consentement. Pour
s’en assurer, un examen attentif de la politique de confidentialité et
des BCR (Binding Corporate Rules) permettent de vérifier le caractère «
privacy by design » de l’offre.
Règle n°3 : conformité
Chaque entreprise évolue dans un environnement réglementaire qui lui est
propre et qui associe des contraintes de différents niveaux : politique
interne, règlementation sectorielle, légalisation nationale, droit
international… Concrètement, une banque n’évolue pas dans le même cadre
qu’un établissement de santé, qui lui-même diffèrera d’une université.
C’est pourquoi il existe certains référentiels fondamentaux sur lesquels
les entreprises, selon la nature des données qu’elles manipulent,
peuvent s’appuyer pour vérifier la conformité d’un service cloud. Pour
une société comme Box, qui vise à centraliser toute la gestion des
contenus d’une entreprise, la certification PCI DSS garantit par exemple
sa capacité à stocker des données de cartes bancaires, de même que la
norme HIPAA démontre son aptitude à traiter des données de santé. Les
normes ISO 27001 et ISO 27018 sont quant à elles des standards en
matière de protection des données et des informations personnelles.
Avant d’aller vers le cloud, les entreprises doivent donc s’assurer que
le fournisseur dispose de certifications en adéquation avec leur
activité mais aussi qu’il assure une veille continue sur les évolutions
réglementaires. En mai 2018 entrera notamment en vigueur le nouveau
Règlement Général sur la Protection des Données (RGPD/GDPR) de l’Union
Européenne. Autant s’assurer dès maintenant que le service désiré en
respectera les principes.
Règle n°4 : gouvernance
La sécurité des données dans le cloud passe par
une gouvernance efficace et cohérente.
La mise à disposition de données de n’importe où et à partir de
n’importe quel device ne doit pas être synonyme de prise de contrôle
anarchique sur le patrimoine informationnel de la société. Le
fournisseur doit pouvoir donner à l’administrateur principal la capacité
de réguler les droits d’accès, d’édition ou de suppression des
documents, de déléguer certains pouvoirs, d’automatiser l’application de
politiques de sécurité ou encore de journaliser les évènements.
L’objectif pour le DSI est de conserver la main sur l’intégralité du
cycle de vie d’un contenu, au moment de sa création (allocation
d’espaces de stockage, localisation des données, etc.), lors de son
utilisation (authentification des utilisateurs, intégration aux
applications métier, etc.), et jusqu’à son retrait (planning de
conservation, suppression automatique, etc.).
Règle n°5 : écosystème
L’imagination des pirates pour s’introduire dans un système
d’information est sans limite. De nouvelles techniques font constamment
leur apparition et obligent les fournisseurs à proposer des
contre-mesures adaptées. Mais face à la diversité des risques, la
combinaison de différentes solutions s’impose. Plus que des
fonctionnalités de protection, c’est un véritable écosystème de sécurité
que doit offrir une solution cloud, particulièrement lorsque celle-ci
vise à permettre à tous les collaborateurs d’une entreprise de
collaborer autour de fichiers parfois critiques pour le business. La
plateforme Box peut ainsi renforcer sa sécurité en s’associant à un DLP
comme celui de Symantec, en analysant ses logs via une solution SIEM
comme Sumo Logic, Domo ou Splunk, ou encore en s’intégrant dans les
outils de gestion de la mobilité comme AirWatch ou MobileIron. La
solution cloud a beau être externalisée, elle est ainsi pleinement
intégrée à la stratégie de sécurité globale de l’entreprise.
Aucun commentaire:
Publier un commentaire