Gouvernance de la sécurité Cloud

Le Conseil d’entreprise est responsable (devant les actionnaires, les législateurs et les clients) du cadre des normes, processus et activités garantissant, ensemble, que l’organisation bénéficie du Cloud Computing en toute sécurité.

Nous sommes le premier fournisseur d’informations, de livres, de produits et de services ayant pour but d’aider les Conseils à développer, mettre en place et maintenir un cadre de gouvernance Cloud.

Discuter avec un expert


Limite de confiance dans le Cloud

Les entreprises sont responsables de leurs propres informations. La nature du Cloud Computing signifie qu’à un moment donné, l’entreprise devra se fier à une tierce partie concernant certains éléments sécurité de ses données. Au moment où la responsabilité passe de votre entreprise à votre fournisseur est appelé « limite de confiance » et se produit à différents moments pour un IaaS, PaaS et SaaS. Les entreprises doivent s’assurer du niveau de sécurité et de résilience de leurs fournisseurs de services Cloud ; elles doivent également respecter leurs obligations en matière de protection des données.


Matrix de contrôles Cloud

La Cloud Security Alliance a développé la Matrix de contrôles Cloud, un ensemble de contrôles de sécurité de l’information complémentaires conçus précisément pour les fournisseurs de services Cloud (CSP), et contre lesquels les clients peuvent demander un audit de sécurité. Le BSI et le CSA ont collaboré pour proposer un programme de certification (créé dans le prolongement de la norme ISO 27001) contre lequel les CSP peuvent obtenir une certification indépendante.


Certification de sécurité Cloud

Le CSA propose un processus ouvert de certification de sécurité Cloud : STAR (Security, Trust and Assurance Registry). Ce programme commence par une auto-évaluation et évolue via le processus de maturité vers un programme de maturité certifié par un organisme externe, supporté par un enregistrement ouvert d’informations concernant les organisations certifiées.


Continuité et résilience dans le Cloud

Les fournisseurs de services Cloud sont tout aussi susceptibles d’être victimes d’interruptions d’activités que tout autre entreprise. L’infrastructure physique peut elle aussi être affecté négativement. Les acheteurs de services Cloud doivent s’assurer que leur CSP sont résilients face aux risques opérationnels. ISO 22301 est la norme appropriée en matière de continuité des activités.


Protection des données dans le Cloud

Les organisations européennes conservant des données personnelles dans le Cloud, ou utilisant un CSP, doivent également se conformer aux huit principes de protection des données. Ils interdisent l’exportation de données personnelles depuis l’EEE en dehors de pays reconnus équivalents en matière de protection des données. Alors que le PIPEDA du Canada est reconnu équivalent, celui des USA n’est pas reconnu. Le CPS des Etats-Unis peut, cependant, demander à être inscrit au Safe Harbor auprès de la Federal Trade Commission, sans le Safe Harbor, il n’est pas permis de conserver les données personnelles de citoyens européens.


Produits de sécurité Cloud


Discuter avec un expert

Vous avez besoin d'aide ? Nous sommes là pour vous aider.