La Gouvernance d entreprise avec le Cloud 8 Novembre 2012 Métastratégie cabinet-conseil mario.lapointe@metastrategie.com www.metastrategie.com 1
Objectif et agenda Objectif Comment gouverner son entreprise en modèle infonuagique (Cloud) et s assurer que les technologies de l information demeurent alignées avec les affaires Agenda Enjeux de gestions Principes directeurs Arbres de décisions d affaires Concepts de mise en œuvre Clauses contractuelles 2
Notre entreprise Entreprise Lavue inc. Conception, fabrication, vente d équipement d excavation pour le secteur de la construction Leaders dans son domaine Produits appréciés des clients Forte demande pour des produits sur mesures Réflexion stratégique pour le plan Nord 3
Offre non sollicité Proposition sérieuse d un fournisseur SI. Adhésion à une plate forme de relation client Fonctionne sur tablette mobile téléphonique (ipad, Samsung GALAXY) Conçu pour environnement hostile (Plan Nord) Technologie SAAS en Cloud Public Autres configurations de déploiements disponibles Vous êtes sur le CA Que faites-vous? 4
Cloud, oui ou non Comment prendre une décision? Notre approche pour cette présentation État des lieux Principes directeurs Facteurs de risques Processus de décision Les considérations Les exigences contractuelles 5
États des lieux Nos références pour cette présentation BMIS Risk IT Cobit 5 6
Personnel Gouvernance TI (BMIS) Organisation Processus Infrastructure TI 7 Architecture Gouvernance Culture Livraison & soutien Tendances Facteurs humains
Comment gérer un risque Élevé Beaucoup Contrôles et coût Niveau de risque résiduel Zone de confort Risques Très Faible Contrôles Vulnérabilités Peu Équilibre Peu 8
Maitriser le risque Risque résiduel accepté Importance du risque inhérent Niveau de maîtrise Risque inhérent Mécanismes de contrôle Pistes d amélioration Mesures déjà prévues, en place ou à conserver 9
Principes de Cobit 5 1. Besoin des parties prenantes 2. Couvrir l entreprise de bout en bout 3. Appliquer un cadre intégré 4. Permettre une approche globale 5. Séparer la gouvernance de la gestion 10
5e principe de Cobit 5 Séparer la gouvernance de la gestion Cobit 5 établit une distinction claire entre la gouvernance et la gestion. Ces deux disciplines englobent différentes activités, exigent des structures organisationnelles différentes et des finalités différentes. La gouvernance veille àce que les besoins des intervenants, les conditions et les options soient évalués et déterminés pour atteindre les objectifs de l entreprise. La gouvernance établit une orientation grâce àla priorisation et àla prise de décision et est suivie de la performance et de la conformitéaux orientations et aux objectifs. Le plan de gestion planifie, construit, supporte et contrôle les activités dans l alignement fixépar la gouvernance pour atteindre les objectifs de l entreprise. 11
Caractéristiques essentielles du cloud Libre-service à la demande Dégage automatiquement des capacités informatiques Vaste accès réseau Accessible partout sur plusieurs dispositifs Regroupement de ressources Modèle et ressources partagés Élasticité rapide Pas de limite de volume Service mesuré Comptabilité à l usage 12
Avantages majeurs Maîtrise des coûts Pas d investissement initial Immédiateté Utiliser un service en une seule journée Disponibilité Infrastructures et bande passante en conséquence Évolutivité Réduction du délai de mise en service Efficacité Entreprise se concentre sur sa valeur ajoutée Résilience Capacité d utilisation en cas de sinistre 13
Principaux problèmes Transparence Contrôle de sécurité strict et efficaces présents. Confidentialité Contrôle de confidentialité en place. Conformité Information nécessaire pour les autorités légales, normatives et règlementaires. Circulation des informations Communication internationale et obligations légales. Certification Rapport d auditeurs de services. 14
Problèmes juridiques Certains fournisseurs de nuages gardent la localisation des données secrètes. Les utilisateurs n ont pas forcément de relation directe avec le fournisseur qui peut dès lors sous-traiter àun ou plusieurs fournisseurs de stockage ou de traitement. Qui détient les données? 15
Conflits de gouvernance Bascule dépenses d investissement en exploitation Examen d acquisition ne s applique plus Bascule d application stratégique àdes applications opérationnelles mobile Centre de décision passe des fonctions de gouvernance aux mains des responsables de secteurs Confusion des rôles d autorités et de responsabilités Technologie de rupture, nouvelle perception et nouvelle intégration 16
Problème de gouvernance pratique Le personnel des fonctions d affaires, qui était auparavant tenu de faire appel au service informatique, peut àprésent utiliser directement les services en nuages. Par conséquent, il est primordial que les politiques de sécuritéde l information abordent l utilisation des services en nuages 17
Conflit de gestion Fonctionnalités manquantes et couverture partielle des besoins Processus et procédures de l entreprise moins efficaces et efficientes Hausse des coûts àlong terme Continuité des services en cas de défaillances L informatique devient un utilitaire technologique 18
6 Principes directeurs en Cloud Comportement prudent des gestionnaires en termes de confiances et de valeurs ajoutée
1-Activation Envisager comme outil stratégique Structure organisationnelle Processus de gouvernance Architecture d entreprise Culture d entreprise Optimiser la valeur ajoutée, la gestion des risques et l utilisation des ressources 20
2-Analyse des coût et des profits Investissement dans les structures de gouvernances, processus et procédures, architecture et culture d entreprise Coût réel du cycle de vie des services informatiques Comparer régulièrement les performances aux attentes 21
3-Risques pour l entreprise Exposition potentielle d informations sensibles Respect de la vie privée Problèmes juridiques en lien avec les SLA Analyse de scénarios pour prise de décision en gestion de risques d entreprises Envisager une stratégie de sortie 22
4-Capacité Disponibilitédes ressources du fournisseur en période d indisponibilité ou d utilisation prioritaire Modification des politiques, pratiques, processus et gestion de l impact de ces changements sur les capacités S assurer que le personnel dispose des compétences et du savoir-faire nécessaires pour coordonner les activités du fournisseur de Cloud. 23
5-Responsabilité Définir clairement les responsabilités internes et celle du fournisseur S assurer que les processus et procédures permettent de vérifier l acceptation des responsabilités et leur affectation adéquate S assurer au sein de la structure de gouvernance un moyen d examiner les performances et faire exercer les responsabilités 24
6-Confiance Établir la confiance dans tous les processus d affaires dépendant du Cloud. Définir clairement les exigences de confidentialité, d intégritéet de disponibilitédes informations et des processus d affaires Les utilisateurs sont persuadés que les informations privées demeurent privées Les entreprises font confiances au personnel dédié à la sécurité pour élaborer les contrôles requis. 25
Facteur de risques inhérents Identification par modèle IAAS PAAS SAAS Identification par déploiement Public Communautaire Privé Hybride 26
Facteur de risques pour IAAS Évolutivité et disponibilité Reprise en cas de sinistre et copie de sécurité Gestion des correctifs Exigences juridiques transfrontalières Gestion multi entreprise et défaillance de l isolement Le manque de visibilitéentourant les mesures de sécurité techniques mises en place 27
Facteur de risques pour IAAS (suite) Sécurité physique Disposition des données Délocalisation infrastructure Entretien de la sécurité des machines virtuelle Authenticité du fournisseur de Cloud Encryption, VPN -- imposteur 28
Facteur de risques pour PAAS Temps de développement d une application Cartographie des applications Vulnérabilités liées à l environnement SOA Disposition d'application 29
Facteur de risques pour SAAS Amélioration de la sécurité de l application Gestion des correctifs d'application Propriété des données Localisation des données Le manque de visibilitésur les systèmes logiciels du cycle de vie de développement Gestion des identités et des accès Stratégie de sortie (fin de contrat) 30
Facteur de risques pour SAAS (suite) L'exposition des applications au WEB Facilité de contracter le fournisseur Le manque de contrôle de la gestion des versions de processus Vulnérabilité des navigateurs 31
Facteur de risques pour cloud public Réputation du fournisseur Le partage intégral du nuage Qualification des autres entreprises Dommage collatéral Confiscation des données d une autre entreprise chez votre fournisseur 32
Facteur de risques pour cloud communautaire Même groupe d'entités Accès dédié pour la communauté Partage du nuage Même politique et mesures de sécurité pour tous 33
Facteur de risques pour cloud privé Peut être construit sur le site sans évaluation Performance sur le site Compatibilité des applications Investissements requis Les compétences requises 34
Facteur de risques pour cloud hybride Interdépendance entre les deux modèle de déploiement les contrôles d'identitéet des accès stricts seront nécessaires pour permettre d un modèle à l autre problème d'infrastructure réseau: comment permettre l'accès àpartir d une zone de sécuritéàbas niveau àune zone de sécuritéde haut niveau? 35
Processsus de décision Étape 1, Préparation de l environnement Étape 2, Sélection du modèle de service Étape 3, Sélection du modèle de déploiement Étape 4, Sélection du fournisseur 36
Décision, étape 1 Principes, politiques et cadre de référence Processus d affaires Structure organisationnelle Culture et l éthique Qualification de l information Services infrastructure et application 37
Décision, étape 2 Solution non standardisé Non Objectifs d affaires sont compatible au Cloud Non Le Cloud n est possiblement pas une solution Oui Oui Indépendance avec les processus d affaires Non SAAS Oui Conformité avec les solution TI standardisé Non Matériel, OS standardisé Oui PAAS Oui Non Application, Matériel, OS standardisé Non Matériel non standardisé Oui IAAS Oui Non Le Cloud n est possiblement pas une solution 38
Décision, étape 3 Départ Données sensibles? Oui Le Cloud global n est possiblement pas une solution, voir hybride Non Non Non Oui Oui Oui Oui Infrastructure Affaires SLA connu? Coût efficient? adéquate? prévisibles? Non Le Cloud n est possiblement pas une solution Oui SLA connu? Coût efficient? Oui Non Non Non Données critiques? Oui Oui Mise à niveau? Contraintes légales? Cloud privé Oui Non Non Non Pas uniquement données? Non Infrastructure adéquate? Oui Affaires prévisibles? Oui Oui Non Non Processus affaires critiques? Non Mise à niveau? Oui Oui Non Non Continuité des affaires? Le Cloud n est possiblement pas une solution Non Oui Propriété des données? Légalité des données? SLA connu? Coût efficient? Oui Non Non Oui Oui Oui Non Oui Oui Oui Contraintes légales? Propriété des données? Légalité des données? Non Non Non Cloud publique 39
Décision, étape 4 Offre de services du fournisseur Petit fournisseur, plus agile aux considérations d affaires Gros fournisseur, plus rapide à réagir en cas d incidents 4 dimensions légales Localisation du client Localisation du fournisseur Localisation des données Localisation du traitement des données Certification certifications de l'industrie identiques àcelles de l'entreprise 40
Stratégie de gestion des risques Le contrat de service est l un des outils les plus efficaces dont dispose l entreprise pour s assurer de la protection adéquate des informations transférées vers le nuage. La protection de l entreprise évoluera grâce àun contrat de service exhaustif et performant, soutenu par un programme d assurance tout aussi efficace et complet. La structure d un contrat de service détailléet complet, incluant des droits d audits spécifiques, aidera l entreprise à gérer les informations transférées, stockées ou traitées dans le nuage. 41
Décision est prise alors Analyse des considérations Analyse des exigences contractuelles Par la suite Conception du contrat de service Rédaction du contrat de service Sélection du fournisseur 42
Liste des considérations 1 Avant de se déplacer vers le Cloud 1.1 Effectuer une analyse d affaires et évaluer les coûts et avantages liés à la transition vers le fournisseur de Cloud 1.2 Identifier et classer tous les actifs d'information (données, processus, applications), qui sont considérés dans la portée 1.3 Préparez une liste de fournisseurs potentiels de Cloud et d'effectuer une vérification (situation financière, les références, l'authenticité, etc.) 1.4 Impliquer les services de contrôle nécessaires (juridiques, conformité, finances, etc.) pendant le processus de décision de migrer vers les services Cloud avant de prendre une décision. 1.5 Évaluer attentivement les fonctions et l'application ciblée àse déplacer vers le nuage et demander que le CSP prévoie une période d'essai pour identifier les problèmes éventuels. 43
Liste des considérations (suite) 2 Vérification des demandes au fournisseur 2.1 Demander la politique de sécuritéet veiller àce qu elle soit alignée avec la politique de sécurité de l'entreprise. 2.2 Demander la liste dès l'emplacement des infrastructures et vérifier que la réglementation dans ces endroits est alignée avec les exigences de l'entreprise. 2.3 Demander des schémas détaillés des mesures de sécurité techniques mises en place (IDS / IPS, pare-feu d'application, etc) et évaluer qu'ils répondent aux besoins de l'entreprise. 2.4 Demander des détails techniques et des contrôles spécifiques pour assurer la confidentialitédes données et en effectuer l'approbation par les autorités de l entreprise 2.5 Demander le processus de gestion des incidents de sécurité appliquée aux actifs de l'entreprise et veiller à ce qu'il soit aligné avec la politique de sécurité de l'entreprise. 44
Liste des considérations (suite) 2 Vérification des demandes au fournisseur 2.6 Demander que le fournisseur inclue l'entreprise dans son processus de gestion des incidents pour être informédes événements collatéraux. 2.7 Demander une copie du SLA contractuel pour la gestion des vulnérabilités, la gestion des correctifs et des versions àappliquer lorsque de nouvelles vulnérabilités sont découvertes sur les équipements 2.8 Demander les spécifications techniques détaillées du système de gestion des accès en place ainsi que les contrôles supplémentaires pour assurer la robustesse du système de gestion des accès. 2.9 Demander les spécifications techniques et les contrôles s'assurant que les données sont correctement effacées à la demande. 2.10 Demander les processus et les techniques mises en place pour le stockage des données et la disposition des médias et évaluer qu'ils répondent aux besoins de l'entreprise. 45
Liste des considérations (suite) 2 Vérification des demandes au fournisseur 2.11 Demander les détails du cycle de vie du développement logiciel des systèmes ainsi que les politiques et procédures en place et veiller àce que les mesures de sécuritéintroduites dans la conception soient conformes aux exigences de l'entreprise. 2.12 Demander les informations sur la gestion des versions des logiciels et des processus de gestion des correctifs en place et vérifier si elle est alignée avec les besoins de l'entreprise. 46
Liste des considérations (suite) 3 Les clauses contractuelles: 3.1 Assurez-vous que le fournisseur est alignéavec la politique de sécuritéde l'entreprise et met en œuvre les contrôles nécessaires pour vérifier la conformité. 3.2 Assurez-vous que l'entreprise reste le seul propriétaire de tout actif migré vers le fournisseur. 3.3 Limiter le déplacement des biens àune certaine zone délimitée connue et conforme à la réglementation applicable à l'entreprise. 3.4 Assurez-vous que la capacitécontractée par l'entreprise est toujours disponible par le fournisseur et ne peut pas être dirigée vers d'autres locataires sans approbation. 3.5 Assurez-vous que le fournisseur publie des rapports réguliers sur la sécurité(rapports d'incident, IDS / IPS journaux, etc) à l'entreprise pour l'analyse. 47
Liste des considérations (suite) 3 Les clauses contractuelles: 3.6 Assurez-vous que le fournisseur applique un effacement sécuritaire des données en vertu de l'approbation de l'entreprise à l'expiration du contrat. 3.7 Assurez-vous que le fournisseur est conforme àla politique de sécuritéde l'entreprise pour le stockage des données et la disposition des médias. 3.8 Assurez-vous avec le fournisseur qu il existe une stratégie de sortie contractuelle qui précise les conditions qui encadrent la récupération des actifs de l'entreprise dans les délais requis. 48
Liste des considérations (suite) 4 Les mesures préventives 4.1 Crypter tous les actifs sensibles en cours de migration vers le fournisseur avant la migration afin d'empêcher la divulgation et s assurer qu une gestion adéquate est en place. 4.2 Utiliser l'identitéet les systèmes de gestion des accès de l entreprise au lieu de celui du fournisseur par l'établissement d'un canal sécuriséentre l'infrastructure du fournisseur et celui de l entreprise. 4.3 Assurez-vous que la politique de sécuritéglobale du fournisseur précise les exigences minimales appliquées àtoutes les entités qui partageant le nuage. 4.4 Mettre en place un plan de continuitédes affaires qui tient compte de la possibilité de perturbation complète du fournisseur. 49
Pense-bête exigences contractuel 1. Sécurité du personnel 2. Chaîne d'approvisionnement 3. Sécurité opérationnelle 4. Gestion des identités et des accès 5. Gestion des actifs 6. Portabilité des données et des services 7. Gestion de la continuité des affaires 8. Sécurité physique 9. Contrôle environnemental 10. Exigences légales 50
Sécuritédu personnel 1 Requis pour l entreprise Lavue inc 1.1 Valider les politiques et les procédures mis en place lors de l'embauche des administrateurs informatiques ou d'autres personnes ayant accès aux systèmes. 1.2 Valider s il y a des politiques différentes selon l'endroit oùsont stockées les données ou les applications sont exécutées. 1.3 Valider le programme de formation de sécuritédispenséa tout le personnel. 1.4 Valider la présence d un processus continu d'évaluation. 51
Chaîne d'approvisionnement 2 Requis pour l entreprise Lavue inc 2.1 Définir les services qui sont sous-traités dans la chaîne d'approvisionnement de prestation de services qui sont essentiels àla sécurité(y compris la disponibilité) des opérations. 2.2 Valider les procédures utilisées pour que des tiers accèdent à l infrastructure (physique et/ou logique). 2.3 Valider les dispositions SLA garanties par sous-traitants inférieurs aux SLA que vous avez. Si non-conformité, s assurer d une redondance de fournisseur. 2.4 Valider les mesures prises pour s assurer que les niveaux de services tiers sont respectés et maintenus. 2.5 S assurer que le fournisseur confirme que la politique de sécuritéet les contrôles sont appliqués (par contrat) à leurs fournisseurs tiers 52
Sécuritéopérationnelle 3 Requis pour l entreprise Lavue inc 3.1 Valider la procédure de contrôle des changements et de politique. Cela doit aussi inclure le processus utilisépour réévaluer les risques àla suite de changements. 3.2 Définir la stratégie d'accès distant. 3.3 Valider le maintenir des procédures documentées d'exploitation des systèmes d'information. 3.4 Valider la séparation des environnements de développement, de test et d'exploitation. 3.5 Définir les contrôles utilisés pour protéger les systèmes hébergeant les applications et les informations. 3.6 Spécifiez les contrôles utilisés pour protéger contre les codes malveillants. 3.7 Valider les configurations sécurisées déployées pour autoriser uniquement l'exécution de code mobile et les fonctionnalités autorisées. 3.8 Valider les politiques et des procédures de sauvegarde incluant la gestion des médias amovibles et les méthodes pour détruire en toute sécurité les médias ne sont plus nécessaires. 53
Sécuritéopérationnelle Assurance logicielle 3 Requis pour l entreprise Lavue inc 3.9 Définir les contrôles utilisés pour protéger l'intégritédu système d'exploitation et les applications logicielles utilisées. 3.10 S assurer que les nouvelles versions sont aptes àl'usage prévu ou qui n'ont pas de vulnérabilités tel que portes dérobées, les chevaux de Troie, etc. 3.11 Valider les pratiques suivies pour maintenir les applications entoute sécurité. 3.12 S assurer la procédure de gestion des vulnérabilités ainsi que le processus pour remédier à ceux-ci. 54
Sécuritéopérationnelle Gestion des correctifs 3 Requis pour l entreprise Lavue inc 3.13 S assurer que la procédure de gestion des correctifs est suivie. 3.14 S assurer que le processus de gestion des correctifs couvre toutesles couches des technologies d'administration de nuages tel que: les composants de l'infrastructure, des routeurs et des commutateurs, les systèmes d'exploitation de serveur, le logiciel de virtualisation, les applications et les sous-systèmes de sécurité(pare-feu, passerelles antivirus, détection d'intrusion, etc.). 55
Sécuritéopérationnelle Contrôle de l architecture réseau 3 Requis pour l entreprise Lavue inc 3.15 Définir les contrôles utilisés pour atténuer les attaques. 3.16 Définir les niveaux d'isolation utilisés. 3.17 S assurer du soutien de l'architecture àprestataire de service pour des dépendances critiques de système. 3.18 S assurer des mesures utilisées pour que l'infrastructure réseau virtuelle utilisée par les fournisseurs de Cloud puisse résister à des attaques. 56
Sécuritéopérationnelle Architecture centrale 3 Requis pour l entreprise Lavue inc 3.19 S assurer des mécanismes de protection des images virtuelles des serveurs. 3.20 Valider les procédures d accès aux images virtuelles. 3.21 S assurer les images virtualisées ne contiennent pas d informations d'authentification. 57
Sécuritéopérationnelle Application PAAS 3 Requis pour l entreprise Lavue inc 3.22 S assurer que les applications sont isolées les unes des autres en identifiant les mesures de confinement et d'isolement. 3.23 S assurer que le fournisseur offre un accès àvos données limitéaux utilisateurs de l'entreprise et aux applications que vous possédez. 3.24 S assurer des mesures utilisées pour le traitement des bogues et des vulnérabilités de la plateforme. 3.25 Valider l offre des fonctions de sécuritéoffertes par le fournisseur telle que l'authentification des utilisateurs, authentification unique, l'autorisation et la gestion des privilèges. 58
Sécuritéopérationnelle Application SAAS 3 Requis pour l entreprise Lavue inc 3.26 Valider les contrôles administratifs fournis et qui peuvent utilisées pour attribuer les droits de lecture et d écriture aux utilisateurs. 3.27 S assurer que la granularitédes contrôles d'accès peut être personnalisée en conformité à votre politique organisationnelle. 59
Sécuritéopérationnelle Provisionnement des ressources 3 Requis pour l entreprise Lavue inc 3.28 S assurer du niveau de prioritérelative accordée àune demande, en cas de défaillance de l'approvisionnement. 3.29 Valider le délai sur les niveaux de service et les changements dans les exigences en cas de défaillance de l'approvisionnement. 3.30 Valider la garantie sur le maximum de ressources disponibles dans un délai minimum. 3.31 Valider la garantie quant àla disponibilitéde ressources supplémentaires dans un délai minimum. 3.32 Valider les processus en place pour gérer les tendances àgrande échelle dans l'utilisation des ressources. 60
Gestion des identités et des accès Autorisation 4 Requis pour l entreprise Lavue inc 4.1 Valider les types d autorisation (lecture / écriture / suppression) des accès pour le système nuage entier. 4.2 Valider la gestion des comptes ayant le plus haut niveau de privilège. 4.3 Valider le modèle le modèle de contrôle d'accès tel que RBAC. 4.4 Valider l application de la séparation des tâches et des règles moindre privilège. 4.5 Valider que les autorisations soient signées par un gestionnaire imputable. 61
Gestion des identités et des accès Provisionnement des identités 4 Requis pour l entreprise Lavue inc 4.6 Valider les contrôles effectués sur l'identitédes comptes d'utilisateurs lors de l'inscription. 4.7 Valider les mécanismes en place pour dé-provisionner les comptes d'utilisateurs. 4.8 S assurer que le provisionnement et le dé-provisionnement s effectuent, simultanément dans tout le système de nuages peu importe les sites géographiquement distribués. 62
Gestion des identités et des accès Gestion des données personnelles 4 Requis pour l entreprise Lavue inc 4.9 Valider les contrôles de stockage et de protection appliquée au répertoire utilisateur et de l'accès à ce répertoire. 4.10 Valider que les données du répertoire utilisateur soient exportables dans un format interopérable. 63
Gestion des identités et des accès Gestion des clés d encryption 4 Requis pour l entreprise Lavue inc 4.11 Valider les contrôles de sécuritéen place pour la lecture et l'écriture des clés, incluant les politiques de mots de passe forts, les clés stockées dans un système séparé, les modules de sécuritématérielle pour les clés de certification racine, l'authentification par carte àpuce, la durée de vie, etc. 4.12 Valider que les contrôles de sécuritésoient en place pour signer et chiffrer des données. 4.13 Valider les procédures mises en place dans le cas de compromission de la clé incluant les listes de révocation des clés. 4.14 Valider la capacitéde révocation d une clépour régler les problèmes d exploitation de plusieurs sites. 4.15 Valider la protection et la signature des images du système. 64
Gestion des identités et des accès Encryption 4 Requis pour l entreprise Lavue inc 4.16 Valider la politique d encadrement du chiffrement. 4.17 Valider l utilisation du chiffrement pour les données en transit, les données au repos, les données dans le processeur ou la mémoire. 4.18 Valider si les noms d'utilisateurs et mots de passe sont chiffrés. 4.19 Valider le détenteur des clés d'accès. 4.20 Valider le détenteur des clés protégées. 65
Gestion des identités et des accès Authentification 4 Requis pour l entreprise Lavue inc 4.21 Valider les formes d'authentification utilisées pour les opérations comprenant ceux exigeant une assurance élevée, une connexion aux interfaces de gestion, une connexion aux interfaces de configuration, etc. 4.22 Valider si l authentification àdeux facteurs est utilisée pour gérer les composants critiques au sein de l'infrastructure. 66
Gestion des identités et des accès Incident majeur ou vol 4 Requis pour l entreprise Lavue inc 4.23 Valider la procédure de diffusion de la détection d'anomalie comprenant le trafic IP inhabituel et potentiellement dangereux, le comportement d utilisateur où le comportement équipe de soutien. 4.24 Valider les dispositions utilisées dans le cas de vol d'informations d'identification du client comprenant la détection, la révocation et la preuve des actions. 67
Gestion des identités et des accès client Cadre de gestion des identités 4 Requis pour l entreprise Lavue inc 4.25 Valider si le fournisseur offre une infrastructure fédérée d identités et des accès interopérables avec le système du client. 4.26 Valider la capacité d'intégrer l'authentification unique. 68
Gestion des identités et des accès client Contrôle d accès 4 Requis pour l entreprise Lavue inc 4.27 Valider si le système d'informations d'identification permet la séparation des rôles et des responsabilités, et pour plusieurs domaines tels qu une clé unique pour plusieurs domaines, rôles et responsabilités. 4.28 Valider la gestion de l'accès aux images du système du client et s'assurer que les clés d'authentification et de chiffrement ne sont pas contenues dans ces images. 69
Gestion des identités et des accès client Authentification 4 Requis pour l entreprise Lavue inc 4.29 Valider les procédures qui permettent au fournisseur de s'identifier auprès du client, tel qu une authentification mutuelle. 4.30 Valider les mécanismes de sécuritépermettant au client de se connecter à l'interface de gestion. 70
Gestion des actifs 5 Requis pour l entreprise Lavue inc 5.1 Valider que le fournisseur dispose de moyens automatisés pour inventorier tous les biens facilitant ainsi une saine gestion. 5.2 S assurer que le fournisseur possède une liste des actifs que le client a utilisés pour une période de temps spécifique. 5.3 S assurer que le fournisseur dispose d une séparation appropriée entre les systèmes nécessitant une classification d information différente. 71
Portabilitédes données et des services 6 Requis pour l entreprise Lavue inc 6.1 S assurer des procédures documentées et des fonctionnalités pour exporter les données à partir du nuage. 6.2 S assurer des processus pour tester que les données peuvent être exportées vers un autre fournisseur. 6.3 S assurer que l on peut effectuer ces propres extractions de données pour vérifier que le format est universel et qu on peut migrer vers un autre fournisseur. 6.4 S assurer que le fournisseur possède les formats interopérables pour l'exportation de toutes les données stockées dans le nuage. 6.5 S assurer dans le cas du modèle SAAS que les interfaces utilisées soient normalisées. 6.6 S assurer des dispositions pour l'exportation des applications créées par l'utilisateur dans un format standard. 72
Gestion de la continuitédes affaires 7 Requis pour l entreprise Lavue inc 7.1 S assurer que le fournisseur ait une procédure documentée qui détaille l'impact d'une perturbation tel que: les pertes de données et le temps de recouvrement RPO (Recovery Point Objective) et RTO (Recovery Time Objective), les canaux de communication avec le fournisseur dans le cas d'une interruption, les rôles et les responsabilités des intervenants. 7.2 Valider le niveau de priorité en cas de perturbation. 7.3 Valider les dépendances pertinentes pour que le processus de restauration fonctionne. 73
Continuitédes affaires Gestion et réponses aux incidents 7 Requis pour l entreprise Lavue inc 7.4 Valider le processus formel en place pour détecter, identifier, analyser et répondre aux incidents. 7.5 S assurer que le processus de gestion des incidents est efficace tel que: la définition des niveaux de gravité, les procédures d'escalade, que les incidents soient documentés et que les faits sont présents. 7.6 Valider les contrôles en place pour éviter ou réduire les impacts d activités malveillantes par des ressources internes. 7.7 Valider que le fournisseur procéder àdes tests d isolement des machines virtuelles et de leurs images. 7.8 S assurer que le fournisseur procède àdes tests de vulnérabilitéet identifier la fréquence. 74
Sécuritéphysique 8 Requis pour l entreprise Lavue inc 8.1 Valider les procédures d autorisation d accès de tout le personnel. 8.2 Valider les contrôles d accès logique et physique au périmètre sécurisé. 8.3 Valider les politiques et les procédures de modification de l environnement. 8.4 Valider les processus ou les procédures en place pour détruire les vieux médias ou systèmes. 8.5 Valider la fréquence des contrôles effectués pour s'assurer que l'environnement est conforme aux exigences juridiques et réglementaires appropriées. 75
Contrôle environnementale 9 Requis pour l entreprise Lavue inc 9.1 Valider les politiques et les procédures en place pour s'assurer que les questions environnementales ne provoquent pas d'interruption de service. 9.2 Valider les procédures de contrôle de l environnement tel que la température, l'humidité, la climatisation, l alimentation électrique, la protection des incendies. 9.3 Valider les procédures d alimentation électrique alternative et que générateurs autonomes, la durée de fonctionnement en cas de panne de courant. 9.4 Valider les procédures d'entretien de l environnement. 9.5 Valider les procédures de sélection du personnel d entretien et de leur identité. 76
Exigences légales 10 Requis pour l entreprise Lavue inc 10.1 Valider le pays où le siège social du fournisseur est situé. 10.2 Valider le pays où les infrastructures du fournisseur sont situées. 10.3 Valider le pays des autres entreprises d'infrastructure que le fournisseur utilise. 10.4 Valider le pays où les données seront physiquement situées. 10.5 Valider les services du fournisseur qui sont en sous-traitance. 10.6 Valider les services du fournisseur qui sont externalisés. 10.7 S assurer de la conformitédes procédures de collection, traitement et de transfert des données avec le fournisseur. 10.8 S assurer du traitement des données avec le fournisseur àla fin du contrat. 77
Sommaire Politiques et procédures spécifiques Classification de l information Catégorisation des processus d affaires Analyse des risques inhérents Négociations des mesures compensatoires au contrat Merci pour votre attention! A vous de jouer 78