Yves Le Roux - PME & Cloud : il faut sécuriser le cahier des charges
Les patrons de PME peuvent réaliser un réel bond technologique grâce au cloud. À condition d’envisager une solution sécurisée, fiable et proposant un réel suivi par le fournisseur.
PME & Cloud : il faut sécuriser le cahier des charges
[caption id="attachment_3187" align="alignleft" width="178"]
PME & Cloud : il faut sécuriser le cahier des charges
Yves Le Roux, CISM1, CISSP2, administrateur de l'Association française de l'audit et du conseil informatique (Afai), consultant CA Technologies France[/caption]
Les patrons de PME peuvent réaliser un réel bond technologique grâce au cloud. À condition d’envisager une solution sécurisée, fiable et proposant un réel suivi par le fournisseur.
A l’heure où les dirigeants d’entreprises recherchent les moyens de répondre aux demandes informatiques toujours plus importantes, nombre d’entre eux voient le cloud computing comme une solution capable de satisfaire leurs besoins. Mais, pour en récolter les avantages, les dirigeants doivent l’envisager comme partie intégrante de leur stratégie organisationnelle, comme un modèle de coûts, une composante de la gestion des risques et comme un mécanisme de fourniture contribuant à atteindre les objectifs et les buts de l’organisation.
Pour prendre des décisions avisées sur la valeur que cette technologie peut leur apporter, les entreprises doivent l’intégrer à leurs activités de gouvernance, de gestion des risques et de prestation de services. Car il est important que, malgré les préoccupations sécuritaires relayées par les médias, les utilisateurs internes et externes puissent faire confiance aux solutions envisagées. En effet, les offres du marché de cloud computing peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les PME.
Penser à l’analyse de risques complète
Cependant, en matière de pérennité des données, et afin de s’assurer de leur maîtrise, il est essentiel de conduire une analyse de risques complète. Celle-ci permettra de définir les règles de sécurité à exiger du prestataire et/ou à mettre en œuvre au sein de l’entreprise. De même, il faut se garantir que les bénéfices attendus seront au rendez-vous. Une évaluation pertinente des avantages du cloud computing doit englober les visions à court, moyen et long termes, ainsi que les coûts de résiliation. En outre, les bénéfices tangibles et intangibles doivent être correctement quantifiés et intégrés à l’équation.
L’orientation stratégique doit piloter le cloud computing. Son introduction doit conduire à l’examen de la structure organisationnelle, des processus de gouvernance, de l’architecture de l’entreprise ou de sa culture. Il faudra s’assurer que la technologie et les systèmes soutiennent et facilitent l’activité des différentes activités de l’entreprise. C’est pourquoi les visions « métier » et fonctionnelle de la gouvernance des technologies de l’information des entreprises sont aussi importantes pour l’utilisation de ces solutions.
Les responsabilités internes et celles du fournisseur seront clairement définies. Par exemple, en raison de la nature dynamique du cloud computing, les informations ne peuvent pas être immédiatement localisées en cas de sinistre. Il faudra donc prévoir ce cas.
En conclusion, les entreprises qui envisagent d’utiliser le cloud computing dans leur environnement doivent calculer les économies potentielles et évaluer les risques supplémentaires encourus. Ensuite seulement, elles sauront comment mieux exploiter ces services. Cette option constitue une initiative de gouvernance majeure pour les entreprises qui y ont recours, et nécessite d’impliquer de nombreuses parties prenantes.
1. Certified Information Security Manager.
2. Certified Information Systems Security Professional.
Cet article est extrait du n°3 d’Alliancy le mag – Découvrir l’intégralité du magazine
