Les fournisseurs infonuagiques (CLOUD)
Affirmer que les solutions CLOUD sont des plus populaires est un truisme, tellement la réalité nous le montre tous les jours. Voir de petites entreprises utiliser plusieurs fournisseurs CLOUD et même voir des PME totalement dématérialisées devient un mode de pensée de plus en plus commun, voire routinier.
Les risques entourant les fournisseurs CLOUD
Dans ma pratique, je vois plusieurs clients sélectionner des fournisseurs CLOUD avec un certain détachement. Ils se disent qu’ils délèguent une partie de leurs problèmes à quelqu’un d’autre. Sur ce point, ils ont totalement raison. Les solutions CLOUD ont simplifié la vie de bien des dirigeants et continueront de le faire.
Néanmoins, il y a lieu de bien gérer ses risques à l’égard des fournisseurs CLOUD. Voici quelques pistes de réflexions utiles à considérer dans le choix des fournisseurs CLOUD.
-
Au Québec, plusieurs PME vendent des applications SaaS. Ils sont, de ce fait, eux-mêmes des fournisseurs CLOUD. La grande majorité utilise largement des fournisseurs CLOUD pour réaliser le développement de leurs applications. On voit rapidement, la pyramide ou la chaîne de fournisseurs CLOUD. Pour une société en haut de la chaîne, cela représente des dizaines de fournisseurs CLOUD à considérer. Nous avons vu dernièrement des situations aux USA où un fournisseur CLOUD avait été attaqué et la menace touchait même ses clients. Une chaîne est aussi solide que son maillon le plus faible.
-
La sélection des fournisseurs CLOUD devient un incontournable, une société doit s’enquérir le plus possible à l’égard d’un fournisseur CLOUD avant de faire des affaires avec celui-ci. Une analyse de risques devrait être effectuée avant de signer tout contrat. La direction devrait accepter cette analyse et les risques sous-jacents avant d’aller de l’avant.
-
Dans certaines organisations, certains services (ex. : RH, finances, etc.) négocient directement avec les fournisseurs CLOUD sans passer par le comité de sécurité ou le service TI. C’est une pratique qu’il faut décourager fortement. Avec les lois et règlements touchant les données personnelles qui sont de plus en plus rigoureux et les risques de sécurité en général, une société n’a aucune chance à prendre. Donc, il faut prévoir un canal unique de sélection des fournisseurs CLOUD.
-
Un des seuls liens unissant un fournisseur CLOUD et son client est le contrat. Il est donc primordial de le lire attentivement et de négocier certaines clauses au besoin. Certains diront que les grands fournisseurs CLOUD ne sont pas négociables (Amazon, Google, Azure, etc.), c’est vrai, mais il faut au moins comprendre les contrats. C’est souvent plus facile de négocier avec les fournisseurs CLOUD pour les applications SaaS, et les risques les plus élevés sont souvent avec ce type de fournisseurs. Voici certaines pistes à regarder ou négocier dans les contrats. Les clauses touchant :
-
La sortie pour chaque partie (terminaison du contrat);
-
Le transfert de données (surtout personnelles);
-
La résolution des litiges et disputes;
-
La communication des brèches de sécurité ou de confidentialité;
-
La destruction des données;
-
La sauvegarde des données;
-
Les exigences de conformité.
-
-
Un des risques les plus importants pour une organisation est lorsqu’elle se fie grandement sur une application SaaS pour gérer le cœur de son entreprise. Avant d’aller de l’avant avec ce genre de situations, il est impératif que chaque clause du contrat soit lue, bien comprise, négociée et acceptée. Une organisation doit pouvoir se tourner rapidement dans l’éventualité où le fournisseur CLOUD aurait des problèmes de continuité des affaires. Des clauses doivent déjà prévoir ce type de situations.
-
Exiger un rapport SOC 2 est une bonne chose en soi, mais est-ce suffisant? C’est souvent la seule option qu’un client a à sa disposition. Il est donc primordial de savoir décortiquer un rapport SOC 2. Il faut porter attention aux exceptions soulevées dans le rapport et scruter rigoureusement la section portant sur les sous-traitants du fournisseur CLOUD. Il faut tenter de découvrir si les sous-traitants sont solides. Il faut se rappeler qu’une chaîne est aussi solide que son maillon le plus faible. À la limite, demander à votre auditeur de vous aider à analyser un rapport SOC 2.
-
Les lois et règlements touchant les données personnelles québécoises, canadiennes et européennes apportent maintenant de nouveaux défis et de nouveaux risques. Il est nécessaire de bien comprendre quels types de données seront hébergées au sein du fournisseur CLOUD et de s’assurer que les données personnelles soient traitées selon les lois et règlements existants. Des clauses spécifiques dans le contrat devraient encadrer ce volet.
-
Lorsqu’une société évalue un fournisseur CLOUD, outre les rapports SOC 2, il y a d’autres certifications qui existent dont une qui est un peu méconnue : la certification STAR qui est en lien avec la Cloud Security Alliance (CSA). Ils ont un registre STAR où il est possible de trouver de l’information sur certains fournisseurs. C’est un outil utile à mettre en relation avec vos autres données d’analyse.
-
S’assurer que votre plan de réponse aux incidents de sécurité est à jour et que la liste des parties prenantes reflète votre présente réalité. Advenant une brèche de sécurité importante, il se pourrait que vous ayez à communiquer rapidement avec vos clients ou vos fournisseurs CLOUD. Il sera utile d’avoir une liste des parties prenantes à jour.
Lorsque j’accompagne mes clients pour l’obtention de leur certification, j’attache beaucoup d’importance aux risques touchant les fournisseurs CLOUD. Il ne fait aucun doute que les risques à l’égard de cette réalité sont appelés à augmenter. Nous sommes probablement au début d’une prise de conscience par les dirigeants d’entreprises de l’importance de bien sélectionner ses fournisseurs CLOUD, de les suivre et de projeter le niveau de risques que la société est prête à accepter en regard de ses fournisseurs CLOUD.