Partage d’expert SAS Beeznet, parce que nos experts font gagner en performance en éclairant les problématiques les plus souvent rencontrées sur le terrain : Partages sur l’évaluation des Fournisseurs de Solutions Cloud /logiciels SaaS. |
Lors des audits et accompagnements, la thématique de maîtrise de la chaîne d’approvisionnement nous ramène quasi systématiquement vers des fournisseurs de solutions SaaS.
Les technologies cloud sont une forme d’externalisation avancée des infrastructures, des applications et des données du système d’information dont le niveau dépend de la nature du service souscrit (SaaS, PaaS, IaaS).
Le fournisseur de solution doit démontrer qu’il requière une bonne définition et mise en œuvre du processus d’externalisation et de gestion de la chaîne de sous-traitance (point 1 ci-après) : de la sélection, à la contractualisation, au suivi jusqu’au retrait des services (réversibilité).
De plus des mesures complémentaires se révèlent nécessaires (point 2 ci-après) en interne à la société cliente ou par l’ajout de services indépendants, notamment sur la sécurité ou la continuité, afin de s’assurer de l’intégrité des actifs informationnels et que les principes et règles de sécurité sont correctement mises en œuvre.
1. Définition et mise en œuvre de dispositions de maîtrise des fournisseurs de service
Les dispositions nécessitent la mise en place des activités ad’hoc et de critères de sélection.
Activités de maîtrise des fournisseurs de service cloud
Sélection des fournisseurs de solution cloud
Objectif : Mettre en place un processus de choix des fournisseurs Cloud selon les règles internes, lois et réglementations
Activité : Définir les modalités de choix des fournisseurs multi-critères (dossier de choix). Établir des termes de référence ou cahier des charges incluant les exigences de sécurité
Contractualisation des fournisseurs de solution cloud
Objectif : Définir le cadre contractuel particulier lors de la souscription à des services cloud en s’assurant que toutes les exigences nécessaires sont prises en compte
Activité : Formaliser des clauses contractuelles et de responsabilité de chacune des parties, Gérer les conditions de service (SLA, engagements, capacité, coûts, conformité…)
Revue et de surveillance des fournisseurs de solution cloud
Objectif : S’assurer du respect contractuel des parties tout au long du contrat
Activité : Mesurer le respect des engagements (pro-actif), identification et correction des manquements/ événements
Critères de sélection des fournisseurs de service cloud
Il convient de s’assurer que l’organisme a bien eu une réflexion de sélection tenant compte des contraintes de sécurité de l’information et montrant la place prise par la sécurité de l’information dans ces critères.. qui doit être cohérente avec la politique de sécurité de l’information et des dispositions de maîtrise évoquées au paragraphe précédent.
Exemple de critères :
- Critères de Responsabilité (niveau d’engagement global du fournisseur) : Niveau d’externalisation (IaaS, PaaS, SaaS), Personnalisation de la responsabilité (asymétrie client-fournisseur), Partage de responsabilité entre les acteurs de la chaîne de sous-traitance….
- Niveaux de service (SLA) : Disponibilité, Capacité / dimensionnement machine, Capacité réseau , Élasticité des capacités, étendue du Chiffrement , Capacité du support technique …
- Conformité : Respect réglementaire et légal, localisation des données , capacité à copier les données, Conformité normative, Conformité sectorielle (banque, assurance…)
- Simplicité d’intégration au système d’information de l’audité : Culture technologique, Compatibilité avec l’existant, Compétences internes, Compétences locales, Mécanismes d’intégration hybride, Mécanismes de migration intégrés
- Mesures technologiques & systémique du fournisseur (SMSI) : Intégration IAM, Authentification, Contrôle d’accès, Interconnexion (cloud public / privé, VPN, Proxy…), Surveillance des activités/ journalisation/ preuves, Vulnérabilités / menaces, Gestion de configuration, Gestion d’incident, Développement sécurisé, Gestion des changements, Administration, Sauvegarde, Continuité d’activité….
- Réversibilité : modalités de réversibilité des services , Conditions de retrait des services….
2. Mesures complémentaires en interne, ou par l’ajout de services indépendants
De plus l’organisme doit, selon les risques, s’intéresser aux mesures compensatoires en cas de défaillance de la solution Cloud. Par exemple :
- Politique de classification de l’information disponible sur le Cloud
- Dispositions de sécurité dans les projets Cloud
- Gestion de la conformité légale et réglementaire
- Sécurité des échanges et transfert d’information
- Sensibilisation à la sécurité spécifique au Cloud
- Sécurité des terminaux
- Sécurité de la continuité d’activité
- Contrôle d’accès logique
- Journalisation et de protection des enregistrements
- Chiffrement (gestion des clé, tokens, algorithmes…)
- Solutions alternative, de replis, de migration