Longtemps considéré comme permissif et risqué pour les données, le cloud s’est depuis renforcé et les principaux CSP (Cloud Service Provider) ont bâti des plateformes davantage fiables et solides. Toujours est-il que les risques demeurent et que vous devez identifier les bonnes pratiques de sécurité devant impérativement figurer dans le cahier des charges de votre partenaire avant d’héberger chez lui toutes vos données. Pour ce faire, voici 5 règles que votre fournisseur de cloud se doit de respecter :
La centralisation
Une bonne plateforme de gestion de contenus dans le cloud doit proposer de centraliser un maximum les informations, de façon à être plus à même de les contrôler et de réduire autant que faire se peut la surface d’attaque à protéger. Tout l’arsenal de défense contre les intrusions (DLP, SIEM, chiffrement…) pourra ainsi être concentré sur ce périmètre. De plus, les utilisateurs et terminaux accédant à la plateforme pourront alors être aisément identifiés et l’utilisation des données s’en retrouvera maitrisée grâce à l’importante granularité des autorisations.
La confidentialité
Si l’accès non autorisé aux données de votre entreprise doit évidemment être parfaitement verrouillée, l’utilisation des informations par le fournisseur doit être encadrée de manière à permettre la veille de l’état de service. Le consentement entre vous et votre fournisseur doit être d’une totale transparence au sujet de la collecte de l’utilisation, du stockage ou du transfert des informations avec à des tiers. Pour y veiller, vous devrez donc examiner attentivement le politique de confidentialité de votre prestataire en jetant notamment un oeil au caractère « privacy by design » de l’offre.
La conformité
Chaque entreprise évolue dans un environnement réglementaire qui lui est spécifique, associant des contraintes propres à différents niveaux : politique interne, droit international, règlementation sectorielle, légalisation nationale, etc. Avant de vous orienter vers un cloud, vous devrez donc vous assurer que votre fournisseur dispose des vérifications en adéquation avec votre activité mais également qu’il assure une veille continue sur ces évolutions réglementaires.
La gouvernance
Assurer une gouvernance efficace et cohérente est une clef décisive pour garantir la sécurité de vos données dans la cloud. Le fournisseur doit donc pouvoir vous offrir la possibilité de réguler aisément vos droits d’accès, d’édition ou de suppression des documents, mais également la capacité de déléguer certains pouvoirs, d’automatiser l’application des politiques de sécurité ou encore de journaliser les évènements.
L’écosystème
Les innovations en matière de piratage informatique sont pléthores et si les fournisseurs s’évertuent à proposer des contre-mesures adaptées, il n’existe pas de solution impénétrable en matière de défense. Face à la diversité des risques, il faut donc opter pour une combinaison de diverses solutions. Au-delà des fonctionnalités de protection, c’est donc un véritable écosystème de sécurité que doit offrir votre founisseur de cloud, en particulier si celui-ci vise à permettre à tous vos collaborateurs de partager des fichiers parfois critiques pour le business.
