Communiqu de Presse

ALX COMMUNICATION - Vronique Loquet

06 68 42 79 68 vloquet@alx-communication.com

Cloud : le Cesin labore 10 recommandations

pour matriser les risques

Face l'adoption massive des offres Cloud, le Club des Experts de la Scurit de l'Information et du Numrique
se mobilise et entend diffuser quelques bonnes pratiques avant de confier les cls .

Paris le 8 juin 2016 - Le Cesin a mobilis 130 de ses membres, soit la moiti de ses adhrents,
autour de la thmatique du Cloud et des bonnes pratiques en matire de scurit. Face
lexplosion du phnomne d'externalisation des donnes, il est fondamental pour le Cesin
d'adopter une gestion des risques et de scurit adapte pour continuer d'assurer une protection
efficace et cohrente des donnes de l'entreprise.
Selon les rsultats du baromtre Cesin-OpinionWay 2016, 85% des entreprises stockent des
donnes dans un Cloud. Si la pratique tend se banaliser, face aux enjeux induits par l'mergence
des offres disponibles sur le march, le Cesin met en garde les dirigeants d'entreprises contre
certaines drives. L'association a confront ses membres et un panel de spcialistes, dont l'Anssi,
la CNIL et des juristes spcialiss, afin d'laborer 10 recommandations issues de la rflexion et du
partage d'expriences.
Longtemps cantonn aux recours ponctuels des services SaaS, parfois directement par les
mtiers sans passer par la DSI, les grandes dcisions dsormais dactualit en matire
dexternalisation massives de donnes dans le Cloud entrainent une profonde volution du SI de
lentreprise et des mtiers qui le grent. Une des grandes tendances constates ces derniers mois
par le Cesin, concerne les projets de migration vers Office 365. En cas de recours loption Cloud,
cette migration pose des interrogations cruciales puisqu'elle modifie la fois les usages, une partie
de la stratgie de la DSI, les politiques de scurit des systmes d'information (PSSI) et leurs
modes de contrle.
Alain Bouill, Prsident du Cesin, indique que : L'arbitrage des opportunits versus risques doit
tre pris au niveau le plus haut de l'entreprise car les donnes concernes sont bel et bien des
donnes cur de mtier.
Les dbats ont amen plusieurs pistes de rflexion portant sur la localisation des donnes, qui se
heurte aux rglementations europennes, leur protection lie une exposition nouvelle dans des
clouds publics, le niveau de scurit propos par lditeur pas toujours la hauteur des enjeux des
plus exigeants, la perte de maitrise en matire de traabilit des actions, la ngociation des
contrats avec les gants de cette industrie, qui ncessite une vritable expertise, les difficults
voire limpossibilit d'auditer les solutions, ou encore les risques denfermement et donc
l'irrversibilit de certaines solutions. Mme si leffet Snowden sefface des mmoires avec le
temps, il est utile de rappeler les risques pour certaines entreprises lies aux obligations des
entreprises amricaines vis--vis du Patriot Act.

Charles Schulz, membre du bureau de la politique industrielle l'Anssi voque les travaux en
cours sur le rfrentiel secure cloud qui aboutira la certification des offreurs libres d'en faire la
demande. Quant aux accords commerciaux, il prcise : Si vous tes dans une socit
multinationale vitez les contrats locaux et ngociez un contrat global groupe, cela donne plus de
poids la ngociation ; en outre exigez un contrat rdig en franais et sign dans un pays
europen. Les phrases du type seule la version anglaise fera foi nont pas de valeur lgale et
doivent tre supprimes.
La version publique du rfrentiel de l'ANSSI sur le Cloud est prvue pour le second trimestre
2016.

Garance Mathias, Avocat la Cour, ajoute que : lexternalisation reste un choix stratgique pour
les entreprises et les administrations, et quil convient dtre accompagn dans la mise en uvre
de ce choix. En effet, indpendamment de la ngociation des contrats, les rglementations
sectorielles doivent tre intgres, et les bonnes pratiques juridiques oprationnelles prises en
compte ds le dbut du projet (localisation des donnes, politique de sous-traitance, quelle
protection de la proprit intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de
protection des donnes personnelles ?...). Garance Mathias, prcise en outre qu' Il est important
dvoquer la sortie du contrat, terme ou rsiliation, avec les impacts oprationnels ainsi que le
traitement des donnes personnelles. A la suite de la conclusion du contrat, ce dernier peut,
compte tenu de lvolution des textes ou du secteur dactivit, faire lobjet davenant, comme la
suite de linvalidation du safe harbor.
In fine, un contrat ne doit pas rester fig, il doit reflter laccord des parties tout au long de son
xcution, dautant que sa dure peut tre longue, notamment dans le cadre des renouvellements
par tacite reconduction.

Les 10 recommandations du CESIN face aux projets Cloud

1- Estimez la valeur des donnes que vous comptez externaliser ainsi que leur attractivit en
termes de cybercriminalit.
2- Sil sagit de donnes sensibles voire stratgiques pour lentreprise, faites valider par la DG le
principe de leur externalisation.
3- Evaluez le niveau de protection de ces donnes en place avant externalisation.
4- Adaptez vos exigences de scurit dans le cahier des charges de votre appel doffre en
fonction du rsultat du point 1.
5- Effectuez une analyse de risque du projet en considrant les risques inhrents au cloud comme
la localisation des donnes, les sujets de conformit et de maintien de la conformit, la
sgrgation ou lisolement des environnements et des donnes par rapport aux autres clients,
la perte des donnes lie aux incidents fournisseur, lusurpation didentit dmultiplie du fait
dune accessibilit des informations via le web, la malveillance ou erreur dans l'utilisation, etc.
Sans oublier les risques plus directement lis la production informatique : la rversibilit de la
solution et la dpendance technologique au fournisseur, la perte de matrise du systme
dinformation et enfin laccessibilit et la disponibilit du service directement li au lien Internet
avec lentreprise.
6- Outre ces sujets, exigez un droit daudit ou de test dintrusion de la solution propose.
7- A la rception des offres analysez les carts entre les rponses et vos exigences.
8- Ngociez, ngociez.
9- Faites valider votre contrat par un juriste. Si vous tes une entreprise franaise, ce contrat doit
tre rdig en franais et en droit franais.
10- Faites un audit ou un test dintrusion avant dmarrage du service (si cela est possible) et
assurez-vous du maintien du niveau de scurit de loffre dans le temps.
A propos du CESIN
Le CESIN (Club des Experts de la Scurit de l'Information et du Numrique) est une association loi 1901,
cre en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la
scurit de l'information et du numrique.
Le CESIN est un lieu d'change de connaissances et d'expriences qui permet la coopration entre experts
de la scurit de l'information et du numrique et entre ces experts et les pouvoirs publics.
Le Club conduit des ateliers et groupes de travail, mne des actions de sensibilisation et de conseil,
organise des congrs, colloques, ou confrences.
Il participe des dmarches nationales dont l'objet est la promotion de la scurit de l'information et du
numrique. Il est force de proposition sur des textes rglementaires, guides et autres rfrentiels.
Le CESIN runit plus de 250 membres issus de tous secteurs dactivit publics et privs : des membres
actifs, responsables de la scurit de l'information dans leur organisation, des membres associs,
reprsentants de diverses autorits en charge de Scurit de l'Information au plan national, des juristes
experts de la scurit IT.
www.cesin.fr

CONTACT PRESSE : ALX COMMUNICATION - Vronique Loquet

06 68 42 79 68 vloquet@alx-communication.com