Hapsis

La protection de vos informations

dans un environnement complexe

Nos services Expertise Cloud & Sécurité

Cloud & Sécurité

 


Copie d'écran de l'outil d'analyse de risques cloud & sécurité de Hapsis

 

L’externalisation des services est un choix structurant pour l’entreprise, l’impact sur la gouvernance informatique est important :

  • Informatique à la demande,
  • Rapidité de mise en œuvre,
  • Concentration sur le métier de base de l’entreprise,
  • Baisse des investissements et maîtrise des coûts,
  • Support au métier pour le développement de services nouveaux et innovants,
  • Evolutivité, flexibilité, rentabilité, fiabilité et homogénéité des services,
  • Standardisation des services et des traitements,
  • Contractualisation de services sur catalogue,

... mais comporte aussi des RISQUES !

Les risques inhérents au projet de cloud computing sont de différents ordres :

  • Organisationnels :
    • Perte de visibilité de la gouvernance et du traitement des opérations :
      • qui fait quoi ? comment ? quand ?
      • Exploitation courante, gestion de crise
    • Dépendance totale du fournisseur et absence de processus de réversibilité,
    • Mauvais dimensionnement des équipes et des moyens à mettre en place pour laréalisation du contrat,
    • Absence d’indicateurs de suivi de la sécurité et de la qualité de l’exécution du contrat,
    • Organisation déficiente dans le suivi quotidien de l’exécution du contrat.
  • Techniques :
    • Atteinte à la disponibilité des données de l’entreprise dans les délais exigés par l’entreprise : Répartition des espaces de stockage et de traitement sur différents sites et pays (environnements dédiés et/ ou mutualisés), sous-dimensionnement des ressources matérielles (système, réseau), attaque type DDOS du fournisseur,
    • Atteinte à l’intégrité des données de l’entreprise du fait de la perte de visibilité sur la gouvernance en place pour le stockage et le traitement des données : Absence de règles de contrôle des accès aux environnements de l’entreprise (données, plateforme et/ou infrastructure), compromission des données,
    • Atteinte à la confidentialité des données : Pas de cloisonnement des environnements de l’entreprise vis-à-vis des autres clients, entre les environnements de production et des environnements de tests et d’homologation, accès à des tiers non autorisés,
    • Incapacité de tracer et d’auditer les actions,
    • Non protection des traces.
  • Juridiques :
    • Perte du mandat d’exercer en cas de non respect des obligations légales liées au métier de l’entreprise ou pénalités financières (pistes d’audit et protection des traces, formalisation et mise en place des processus de contrôle interne dans le secteur bancaire, ),
    • Pénalités financières ou atteinte à l’image de marque du fait du non respect de la réglementation en place compte tenu de la multiplicité des juridictions et les localisations multiples des sites d’hébergement des données : CNIL, patriot-act, problématique des licences logicielles et matérielles (ex : checkpoint), ...
    • Non vérification de la fiabilité des intervenants du fournisseur.
  • Continuité de service et gestion de la crise :
    • Pas de procédures d’escalade ou procédures non formalisées et pas testées,
    • Plans de secours et/ou de continuité d’activités inexistants ou non efficients,
    • Absence d’un plan de réversibilité.

 

Pour accompagner ses clients, HAPSIS propose de traiter la sécurité dans le « cloud » en adoptant une démarche générique d’analyse de risques des SI :

  • Définition des exigences de sécurité,
  • Identification et appréciation des vulnérabilités,
  • Détermination des scénarii de risques,
  • Proposition de plans d’actions,
  • AMOA/ AMOE pour le choix des solutions : dimensionnement des services, gestion des évolutions, contractualisation des services, négociation, contrôle