Face à la pandémie du COVID-19 et aux restrictions sanitaires, le télétravail a connu une hausse rapide et significative. Cette augmentation massive du nombre de télétravailleurs engendre une dépendance forte des entreprises à l’égard de la technologie et des fournisseurs de fervices Cloud (CSP). En effet, les solutions de Cloud Computing offrent une plateforme flexible et des outils collaboratifs essentiels pour déployer efficacement le télétravail auprès de ses employés. Toutefois, les entreprises doivent garder à l’esprit que la migration de leurs flux de travail vers des solutions SaaS ne les dispense pas de protéger leurs données. C’est à l’entreprise qu’il incombe de se conformer aux contrôles de conformité et aux réglementations en matière de protection des données. Dans cet article, nous aborderons les exigences de conformité et d’audit à prendre en considération avec ses fournisseurs de services Cloud et en particulier avec ses fournisseurs de solutions de sauvegarde en mode SaaS.
« Responsabilité partagée » des données
De nombreuses entreprises pensent à tort que leur fournisseur de services Cloud est entièrement responsable de la sécurité de leurs données. Si les solutions SaaS telles que Microsoft 365, G Suite ou Salesforce sont rigoureusement sécurisées, elles n’assurent pas la sécurité des données.
D’où l’expression « responsabilité partagée » utilisée dans les lois de conformité comme le RGPD, entre autres. Que signifie « responsabilité partagée » ? Cela signifie que le « responsable du traitement des données » (l’entreprise) et les « sous-traitants » (les CSP) partagent des devoirs en matière de sécurité des données vis-à-vis des clients et des autorités de contrôle des données.
En règle générale, la responsabilité des CSP englobe tout ce qui concerne le Cloud, c’est-à-dire la sécurisation des installations, du matériel et des logiciels qui font fonctionner les services Cloud. L’entreprise est quant à elle responsable de la sécurité « dans » le Cloud, comme les données des clients, la gestion de l’accès, la sécurité du réseau et le chiffrement des données côté client. Si l’entreprise n’est pas clair sur ses responsabilités en matière de sécurité des données, cela peut conduire à des défaillances de sécurité préjudiciables (et évitables). Pour s’assurer de ne pas rencontrer de problèmes, l’entreprise doit consulter son prestataire de services informatiques pour discuter des termes exacts de son contrat de service, afin de s’assurer qu’elle remplit ses responsabilités en matière de protection des données.
Une « procédure de test » est indispensable pour assurer la conformité
Les entreprises pensent être à l’abri des violations de données grâce aux fournisseurs de services cloud. Malheureusement, même les CSP les plus sûrs ne peuvent pas les protéger contre la perte de données en raison de pirates informatiques, de logiciels malveillants, d’intentions malveillantes, d’erreurs de synchronisation ou, surtout, d’erreurs humaines.
Les audits exigent de garantir la « procédure de test » des données des clients. Si les CSP sont effectivement utiles pour garder les employés connectés pendant cette période, la récupération native est fastidieuse et limitée dans le temps. Pour une reprise d’activité efficace et une continuité d’activité sans faille, les entreprises ont besoin d’une solution de sauvegarde tierce pour récupérer rapidement les données perdues. Les lois sur la réglementation des données dans le monde entier, comme le RGPD par exemple, imposent le chiffrement des données, le partage des responsabilités et une procédure de test. L’article 3 du RGPD stipule que les organisations devraient « avoir les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ». Les solutions de sauvegarde SaaS ne dérogent pas à la règle.
L’audit de conformité pour les solutions de sauvegarde en mode SaaS
Chiffrement des données
Pour une conformité optimale, les données à la fois stockées et en transit doivent être chiffrées. Si le CSP ne chiffre pas les données à la fois lors de leur stockage et pendant leur transfert, il existe un risque de violation des données.
Authentification à multi-facteurs
Si le CSP ne prend pas en charge l’authentification à multi-facteurs, les données sont susceptibles d’être piratées. La violation des données est principalement due à une altération des informations d’identification. Même les mots de passe les plus sécurisés peuvent être facilement piratés par des attaques de phishing, d’enregistreurs de frappes et de logiciels malveillants.
En réduisant la dépendance aux mots de passe eux-mêmes, il a été prouvé que l’authentification à multi-facteurs bloque 99,9 % des violations. Les meilleures plateformes de Cloud Computing comme Microsoft elles-mêmes exigent son utilisation.
Emplacement des centres de données
Beaucoup d’entreprises pensent que le lieu physique n’a pas d’importance. Il s’agit plutôt d’une exigence essentielle en matière d’audit, en rapport avec la souveraineté des données.Les données sont sous la juridiction du pays dans lequel elles sont collectées ou traitées et doivent y rester. C’est pourquoi la plupart des lois exigent un stockage local et réglementent fortement la manière dont les données peuvent sortir du pays et pour quelle raison. Par exemple, le RGPD exige que toutes les données collectées sur les citoyens soient stockées dans l’UE, donc soumises aux lois européennes sur la vie privée, ou dans un pays qui a des niveaux de protection similaires.
Connectivité, accès aux données et sécurité
Le lieu fait également la différence en matière de connectivité et de sécurité. Plus précisément, si vous choisissez un emplacement de centre de données qui n’est pas bien situé, vous pouvez être confronté à des problèmes de latence. Le nombre de liaisons réseau peut également faire une différence dans la rapidité et la fiabilité de votre connexion. En outre, les CSP de l’UE doivent offrir aux utilisateurs la possibilité d’accéder à leurs données ou de les supprimer. Les entreprises doivent donc vérifier l’accessibilité des données, en particulier la possibilité de sélectionner les données à supprimer.
Comment CloudAlly peut vous aider à protéger vos clients
CloudAlly est une solution de Cloud Computing tierce qui fournit une sauvegarde automatisée sécurisée et des options de restauration simplifiées pour les plateformes SaaS telles que Microsoft 365, G Suite, Salesforce, SharePoint, OneDrive, Dropbox et Box. Vous êtes ainsi assuré de disposer d’une « procédure de test » en cas de perte de données de vos clients et de pouvoir récupérer rapidement leurs données en quelques clics.
CloudAlly propose des sauvegardes automatisées et à la demande, un temps de rétention illimité et des restaurations instantanées ou granulaires. La solution est hautement sécurisée et les données sont stockées sur Amazon S3 avec chiffrement AES-256 bits et une conformité SOC II. Elle est conforme aux normes RGPD et prend en charge les protocoles OAuth et MFA.
Les MSP peuvent se différencier de leurs concurrents en offrant une sauvegarde contre la perte de données avec des plateformes SaaS communes. Cela permettra à vos clients de travailler en toute sécurité sur le cloud tout en développant votre activité.
Source : Traduction de l’article rédigé par CloudAlly, Audit and Compliance implications of CSPs
0 commentaires