Risques opérationnels liés au Cloud : Cyfor donne quelques conseils aux risk managers.
Lorsqu’une entreprise utilise un service situé sur le Cloud, elle met la sécurité de ses données entre les mains d’un nombre restreint d’opérateurs, aujourd’hui essentiellement américains (Amazon Web Services, Google Cloud, IBM Cloud et Microsoft Azure).
L’enjeu est la protection des données confiées à ces opérateurs mais aussi le risque de continuité, voire de paralysie des activités en cas de défaillance majeure d’un de ces opérateurs du cloud. Risque d’autant plus fort qu’il est concentré sur quelques sociétés.
La majorité des institutions financières européennes utilise aujourd’hui des services situés sur le cloud, que ces soit via des solutions SaaS[1], IaaS[2], ou PaaS[3]. Et pas seulement dans des domaines situés hors du cœur de métier.
L’Europe tente de répondre à ces défis, à la fois sur les plans juridique et opérationnel
- Outre le RGPD, ou les dispositions de Solvabilité 2 relatives à la sous-traitance, un projet de directive européenne aurait pour objet de renforcer le pouvoir de surveillance des régulateurs financiers (clauses contractuelles obligatoires donnant aux régulateurs un droit d’accès aux informations, d’audits et d’inspection ; amendes aux opérateurs en cas de refus de coopérer)
- le projet GAIA-X poursuit l'objectif de construire une infrastructure de données fiable et sécurisée pour l'Europe, réunissant 22 entreprises, 11 allemandes et 11 françaises, et garantir la souveraineté des données, leur disponibilité, leur interopérabilité, et leur portabilité. Il ne s’agit pas de créer un concurrent des leaders américains de l’hébergement de données, mais un nouveau standard pour le secteur.
Les avantages de recourir au Cloud sont nombreux et connus : souplesse d’utilisation, réduction des coûts, accès facilité aux dernières technologies, big data,…
Mais les risques associés le sont aussi, y compris celui de pouvoir le maitriser par les méthodes classiques de contrôle interne qui nécessite d’exiger un reporting détaillé des opérateurs. Ce qu’il n’est pas aisé d’obtenir.
Pour réduire ces risques, nous recommandons au minimum les dispositions clés suivantes :
- exiger que les données soient isolées de celles des autres clients de l’opérateur (au moins sur le plan logique, la dispersion physique pouvant être un atout sécuritaire),
- chiffrer les données,
- simuler des scénarios de risque spécifiques,
- réaliser des tests d’intrusion,
- définir une clause contractuelle de réversibilité réellement opérationnelle. D’ailleurs, comment le plan de continuité et de secours informatique pourrait fonctionner sans des compétences internes maintenues ?
Ces dispositifs représentent un coût certain : la décision de recourir au Cloud sur une activité sensible devrait donc faire l’objet d’une décision au niveau managérial adéquat pour arbitrer entre les avantages attendus et le cout de la maitrise des risques. Et si le Cloud est déjà une réalité opérationnelle dans votre entreprise, un dossier présenté en comité des risques avec un état des lieux de tous ces éléments sera certainement le bienvenu.
Notes de bas de page [1] Le SaaS (Software as a Service) est une solution applicative répondant à un domaine d’utilisation précis supportant une fonction métier (gestion de la relation clientèle, gestion financière, …) ou un service transverse (messagerie, outils collaboratifs, site internet…). [2] L’IaaS (Infrastructure as a Service) offre une infrastructure informatique comme de la puissance de calcul, des machines virtuelles incluant un système d’exploitation, du stockage, des services de sauvegarde. [3] Le PaaS (Platform as a Service) fournit une plateforme de développement et/ou d’exécution intégrée, reposant sur un catalogue de composants logiciels et techniques standardisés dont l’infrastructure sous-jacente est transparente pour l’utilisateur.