Gouvernance, conformité et Cloud : ce que vous devez savoir
Les solutions de cloud privé, public ou hybride n'affranchissent pas les entreprises des obligations de mise en conformité qui leurs incombent. Il existe des bonnes pratiques pour s'épargner les déconvenues.
C’est beaucoup demander, n’est-ce pas ?
- Tout d’abord, communiquez l’ensemble de vos exigences générales et spécifiques à chaque fournisseur tiers qui a accès à vos données ou qui en contrôle les accès. Vérifiez qu’ils s’appliquent à eux-mêmes les mêmes règles strictes que vous vous imposez en interne.
- Faites leur comprendre que vous pouvez subir un audit à tout moment et qu’eux-mêmes seront donc amenés à produire des rapports d’audit pour tout critère soumis à des obligations de conformité, et ce à tout moment.
- Convenez ensuite d’une date à laquelle vous pourrez vérifier de façon aléatoire la conformité de vos fournisseurs tiers (en leur demandant de produire des rapports d’audit prévus à cet effet).
- Assurez-vous d’avoir les coordonnées de contacts principaux et secondaires chez vos fournisseurs de façon à toujours pouvoir joindre quelqu’un en cas de changement de poste ou d’indisponibilité momentanée.
- Établissez des accords de niveaux de service (SLA) régissant le traitement de la demande et la remise des livrables (des rapports, en l’occurrence) pour clarifier vos attentes dans les détails, dans quels délais, etc.
- Enfin, instaurez un process qui autorise quiconque dans votre entreprise à faire une demande de rapports d’audit auprès de vos fournisseurs. Il doit s’agir d’un guide pas à pas avec toutes les instructions et les coordonnées des interlocuteurs à contacter, ce qu’il convient de demander et la forme des livrables.