Cette méthode Devoteam est basée sur un référentiel de 44 risques identifiés sur le Cloud. Elle permet de maîtriser les aspects sécuritaires de l’externalisation totale ou partielle de son système d’Informations. Ces 44 risques sont le fruit de l’expérience des experts de Devoteam en matière de Sécurité et dans les domaines connexes tels que le Risk Management ou les Audits. Ces risques ont ensuite été corrélés à 3 référentiels issus de l’ENISA (European Network and Information Security Agency), du CSA (Canadian Standards Association) et du NIST (National Institute of Standards and Technology).

In fine, cette méthode fournit aux consultants de Devoteam une évaluation du niveau de risques d’un projet Cloud auquel une organisation réfléchit : que ce soit à priori, pour aider cette dernière à décider ou non d’aller dans le Cloud ou bien pour l’aider à comparer les niveaux de risques des offres de différents fournisseurs ; ou encore à posteriori, pour cartographier les risques d’un projet Cloud en production.

A cette évaluation des risques s’ajoute un référentiel de mesures de sécurité préconisées risque par risque, fondée sur les recommandations de l’ISO 27 002 et sur les retours d’expérience des experts de Devoteam. Chaque mesure est décrite selon le fait qu’elle soit applicable par le client, par le fournisseur de la solution de Cloud ou par les deux.

En complément, chaque mesure a été étudiée selon l’effort de mise en œuvre qu’elle représente. Cet effort est estimé en fonction de la charge de travail nécessaire, de la complexité de la mesure et du contexte politique et organisationnel dans lesquels cette mesure doit s’inscrire. Il démontre que les économies que permettent d’envisager le recours au Cloud ne doivent pas cacher les efforts nécessaires pour garder un niveau de sécurité similaire à l’équivalent d’une solution hébergée en interne.

La méthode est intégrée dans la plate-forme de RVR Parad, solution de Devoteam de gestion globale des risques.