Tribunes

Les 10 recommandations du CESIN pour la sécurité des projets Cloud

Les 10 recommandations du CESIN pour la sécurité des projets Cloud
Alain Bouillé, Président du CESIN, a commenté : « L'arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l'entreprise car les données concernées sont bel et bien des données cœur de métier. »

130 RSSI membres du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) ont défini dix bonnes pratiques à adopter avant de mettre en oeuvre un projet de cloud externe.

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l'information et du numérique. Ses plus de 250 membres (RSSI surtout) échangent expériences et connaissances sur la sécurité de l'information. Le club comprend également des membres associés, représentants de diverses autorités en charge de Sécurité de l'Information au plan national, des juristes experts de la sécurité IT.
Un groupe de travail de 130 membres a ainsi défini dix bonnes pratiques à adopter en matière de cloud.

1 - Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.

2 - S'il s'agit de données sensibles voire stratégiques pour l'entreprise, faites valider par la DG le principe de leur externalisation.

3 - Evaluez le niveau de protection de ces données en place avant externalisation.

4 - Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d'offre en fonction du résultat du point 1.

5 - Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l'isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l'usurpation d'identité démultipliée du fait d'une accessibilité des informations via le web, la malveillance ou erreur dans l'utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d'information et enfin l'accessibilité et la disponibilité du service directement lié au lien Internet avec l'entreprise.

6 - Outre ces sujets, exigez un droit d'audit ou de test d'intrusion de la solution proposée.

7 - A la réception des offres analysez les écarts entre les réponses et vos exigences.

8 - Négociez, négociez.

9 - Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.

10 - Faites un audit ou un test d'intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l'offre dans le temps.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    UTILISATION DES COOKIES

    En poursuivant votre navigation sur ce site,
    vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

    Pour en savoir plus, consultez notre politique relative à la vie privée.

    La question du moment
    Les services IT sont-ils refacturés aux métiers en fonction de leurs usages réels ?