Les failles de sécurité du Cloud sont aussi rares que les déflagrations médiatiques occasionnées sont fortes. Les prestataires qui nous sollicitent l’ont bien compris et travaillent sur les perceptions en optant pour des solutions qui génèrent de la confiance, au premier rang desquelles la certification de leur organisation.
Un sondage de Cloud Industry Forum indique que la sécurité est, pour 75% des professionnels IT interrogés, la première raison de ne pas passer sur des applications en mode Cloud. Pourtant, ces craintes pourraient ne pas être totalement fondées. D’après la même étude, seules 2% des entreprises déclarent avoir été confrontées à une faille de sécurité dans leur usage du Cloud !
D’un autre côté, l’INSEE indiquait en avril 2015 que 36% des entreprises de plus de 250 salariés utiliseraient un service de Cloud public ou privé, notamment pour stocker leurs données et gérer leur relation client. Même si ces entreprises sous-traitent, elles restent responsables des données communiquées sur les serveurs et doivent composer avec une petite musique collective, qui laisserait entendre que le Cloud n’est pas une solution sûre.
LA CAUTION DE LA CERTIFICATION
Les entreprises et prestataires de Cloud sollicitent de plus en plus les services d’AFNOR Certification. Pourquoi ? En se soumettant volontairement à des contrôles rigoureux, sur lesquels nous sommes accrédités, elles donnent de la force à leur engagement. Notre caution, en tant qu’organisme indépendant, lui-même contrôlé sur ses méthodes et sa déontologie, (re)donne confiance. A qui ? En premier lieu à ses collaborateurs, en reconnaissant toute leur valeur : sans eux, atteindre la certification est impossible. A ses clients, actionnaires et partenaires ensuite, en leur indiquant qu’elle est effectivement organisée pour prévenir les problèmes. En acceptant d’être contrôlés lors d’audits réguliers, l’entreprise dépasse le simple discours incantatoire sur l’efficacité de son organisation. Elle est de facto reconnue parmi les entreprises les plus exemplaires.
La norme internationale ISO/CEI 27001 est reconnue, depuis sa publication en 2013, comme un étendard par tous les experts. Elle délivre un mode opératoire efficace pour s’organiser et développer une véritable amélioration continue de la gestion de la sécurité d’un système d’information. Dans un secteur aussi évolutif sur le plan technique, la veille et la remise en cause sont essentielles pour prétendre réduire les risques : cette norme volontaire est appréciée notamment pour les mesures de protection et de sécurité qu’elle induit, grâce à un plan garantissant disponibilité, intégrité et confidentialité de l’information.
L’INTERET CROISSANT POUR L’ISO/IEC 27018
Face à l’enjeu de la sécurité des données personnelles dans le Cloud, la norme ISO/IEC 27018 apporte des solutions précises, que la certification vient une nouvelle foi attester. Les dirigeants d’entreprises qui ont déjà mis en place un système de management ajoutent souvent la brique de l’ISO/ IEC 27018. C’est un moyen pour eux d’avoir une approche globale, stratégique, de la question.
L’entreprise qui suit la norme commence tout d’abord par faire un accord de confidentialité avec l’ensemble de son personnel. Une idée simple à déployer mais toujours efficace pour sensibiliser les équipes. L’entreprise prend ensuite une série d’engagements, notamment celui de ne pas utiliser les données personnes des clients sans consentement de leur part et à les informer, en cas de faille de sécurité, si leurs données ont pu être exploitées contre leur grès. Autre exemple : elle conduit l’entreprise à donner de la visibilité sur le lieu de stockage des données et l’identité des sous-traitants. En fin de contrat, l’entreprise est aussi engagée à transférer ou détruire les données disponibles sur le Cloud.
[button content= »En savoir plus sur l’ISO 27001 et 27018″ color= »yellow » text= »black » url= »http://www.boutique-certification.afnor.org/certification/certification-iso-iec-27001″ openin= »_blank »]
