Inciter les décideurs qui font le choix du Cloud, à le faire avec l’assurance que leurs données seront correctement protégées est l’objectif de ce guide à vocation pratique, qui veut sensibiliser tous les acteurs de l’entreprise, en particulier les dirigeants, directeurs Métiers, auditeurs.

La problématique de la sécurité de l’information est déjà très présente avec le renforcement du cadre réglementaire et le développement pléthorique des données structurées et non structurées. Cette question se trouve aujourd’hui exacerbée avec la mise en place du Cloud, où les données peuvent être hébergées à l’extérieur de l’entreprise.

Le guide Cloud computing et protection des données aborde ce sujet sous l’angle des métiers, à partir de la question « quel Cloud pour quel usage ? ». L’objectif est d’inciter les décideurs à réfléchir au niveau de protection nécessaire aux données hébergées, quelle que soit leur localisation, et de choisir l’offre la plus adaptée à l’usage souhaité.

Ce guide pratique vise ainsi notamment à faciliter le dialogue entre directions métiers et DSI, en clarifiant la réalité des offres Cloud disponibles et leurs limites ou performances en matière de protection des données. Il vise également à accompagner les décideurs, en proposant quelques bonnes pratiques tant au plan contractuel qu’opérationnel, assorties d’exemples concrets (questions à se poser avant de faire son choix, clauses contractuelles, objectifs de contrôle opérationnel…).

Enfin, ce document est tourné vers l’écosystème puisqu’il invite les fournisseurs de solutions Cloud à mieux prendre en compte la question de la protection des données et à renforcer leurs garanties en la matière.

Cette initiative illustre l’objectif que se fixent les trois organisations rassemblant auditeurs internes, directeurs des systèmes d’informations, auditeurs externes et consultants informatiques : présenter une vision synthétique des enjeux du Cloud, lister les questions à se poser et proposer une méthodologie pour se lancer, en sécurité, dans le Cloud.

L’approche s’articule autour de quatre messages clés :

• Le Cloud présente de nombreux avantages d’agilité, de souplesse et de réduction des coûts, mais l’offre actuelle de Cloud est susceptible d’exposer les entreprises à des risques sur leurs données.

• Il est important de s’engager dans le Cloud avec ses différentes parties prenantes : les métiers, la DSI, les Achats, l’Audit interne, le Juridique, le Risk Management, le Contrôle Interne…

• Il est important de se poser les bonnes questions pour faire les bons choix : quel Cloud pour quel usage ?

• Il faut mettre en place un environnement de contrôle adapté pour assurer la protection des données dans le respect du cadre contractuel défini avec le fournisseur.