Gouvernance, conformité et Cloud : ce que vous devez savoir

Les solutions de cloud privé, public ou hybride n'affranchissent pas les entreprises des obligations de mise en conformité qui leurs incombent. Il existe des bonnes pratiques pour s'épargner les déconvenues.

Tout tourne autour du Cloud. Les argumentaires marketing des uns et des autres parlent tous du passage au Cloud, et si ce passage n’est déjà fait, il le sera dans un avenir proche. Vous envisagez peut-être de déléguer toutes vos données (et les soucis de gestion qui vont avec) à un fournisseur de services Cloud tel que Microsoft, Amazon, Google ou encore à un fournisseur indépendant ? Vous pourriez même créer votre propre Cloud privé… Sachez cependant qu’aucune solution Cloud, privée, publique ou hybride, ne vous permet de vous affranchir des obligations de mise en conformité qui vous incombent.

Vous restez seul responsable du contrôle de vos données, de leur protection et de leur destruction, où qu’elles soient hébergées. La norme PCI-DSS 3.0 (un standard de sécurité des données pour les industries de carte de paiement) en est un parfait exemple. 

Ce sont les entreprises qui doivent établir elles-mêmes les conditions à respecter et vérifier que chaque fournisseur tiers qui a accès aux données soumises aux réglementations observe bien les obligations de conformité. En effet, pour tout fournisseur tiers comme pour n’importe quel employé, il faut s’assurer que la chaîne de responsabilité n’est jamais rompue et qu’elle est systématiquement conforme. 

C’est beaucoup demander, n’est-ce pas ? 

Heureusement, il existe des moyens d’y parvenir en vous simplifiant la vie.
  • Tout d’abord, communiquez l’ensemble de vos exigences générales et spécifiques à chaque fournisseur tiers qui a accès à vos données ou qui en contrôle les accès. Vérifiez qu’ils s’appliquent à eux-mêmes les mêmes règles strictes que vous vous imposez en interne. 
  • Faites leur comprendre que vous pouvez subir un audit à tout moment et qu’eux-mêmes seront donc amenés à produire des rapports d’audit pour tout critère soumis à des obligations de conformité, et ce à tout moment.  
  • Convenez ensuite d’une date à laquelle vous pourrez vérifier de façon aléatoire la conformité de vos fournisseurs tiers (en leur demandant de produire des rapports d’audit prévus à cet effet). 
  • Assurez-vous d’avoir les coordonnées de contacts principaux et secondaires chez vos fournisseurs de façon à toujours pouvoir joindre quelqu’un en cas de changement de poste ou d’indisponibilité momentanée. 
  • Établissez des accords de niveaux de service (SLA) régissant le traitement de la demande et la remise des livrables (des rapports, en l’occurrence) pour clarifier vos attentes dans les détails, dans quels délais, etc.
  • Enfin, instaurez un process qui autorise quiconque dans votre entreprise à faire une demande de rapports d’audit auprès de vos fournisseurs. Il doit s’agir d’un guide pas à pas avec toutes les instructions et les coordonnées des interlocuteurs à contacter, ce qu’il convient de demander et la forme des livrables. 
Une entreprise qui suit ces recommandations met toutes les chances de son côté pour s’assurer que son environnement Cloud est sûr et conforme. Les équipes IT et celles chargées de la sécurité et du maintien en conformité pourront de nouveau dormir sur leurs deux oreilles !