Les données d’un organisme quel qu’il soit, les informations sensibles ou encore les données personnelles sont une force pour se développer, anticiper avec la veille, pour influencer. Mais ces données présentent un risque.. car beaucoup feraient (font) tout pour l’avoir (source de business, influence, manipulation, intelligence économique…) . Il faut donc les protéger.
Le problème, c’est que cette masse de données considérable est collectée par quelques acteurs (GAFAM-NATU & homologues asiatiques BATX..HT…) , que leur consolidation est facilitée par le BigData et que le traitement en masse, prédictif est porté par l’Intelligence Artificielle (qui rappelons le, est moins performance, sans masse de données pour l’apprentissage des modèles).
Et qu’elle est majoritairement stocké dans « l’énigmatique cloud ».
Les technologies cloud sont une forme d’externalisation avancée des infrastructures, des applications et des données du système d’information dont le niveau dépend de la nature du service souscrit (SaaS, PaaS, IaaS).
Leur maîtrise requière une bonne définition et mise en œuvre du processus d’externalisation et de gestion de la chaîne de sous-traitance : de la sélection, à la contractualisation, au suivi jusqu’au retrait des services (réversibilité).
Nous préconisons de bien définir les critères de sélection des fournisseurs cloud : Responsabilité (niveau d’engagement global du fournisseur), Niveaux de service (SLA) au sens rapport capacité / prix (quantitatif), Conformité, Simplicité d’intégration au système d’information, Mesures technologiques & systémique du fournisseur (système de management), Réversibilité, Coûts…
De plus des mesures complémentaires en internes, ou par l’ajout de services indépendants, notamment sur la sécurité ou la continuité, se révèlent nécessaires afin de s’assurer de l’intégrité des processus et que les principes et règles de sécurité soient correctement mise en œuvre.
Nous préconisons les modalités spécifiques et complémentaires suivantes : classification de l’information Cloud, sécurité dans les projets Cloud, Gestion de la conformité légale et réglementaire, Sécurité des transferts d’information, Sensibilisation à la sécurité Cloud, Sécurité des terminaux, continuité d’activité, Contrôle d’accès logique, Journalisation, Chiffrement, Réversibilité, Solutions alternative/ replis/ migration.
Pour conclure, citons quelques normes de référence:
* ISO 27002:2022 Sécurité de l’information – recommandations (notamment 5.23 Sécurité de l’information dans l’utilisation de services en nuage)
* ISO/IEC 27017 spécificités liées à la sécurité de l’information et aux services en nuage publics
* ISO 27018. Spécificités liées à la protection des DCP dans l’informatique en nuage