En effet, si le Cloud séduit de plus en plus d’entreprises, ces dernières s’interrogent néanmoins sur la protection de leurs informations (données à caractère personnel, données réglementées, données stratégiques…) et ceci, dans un contexte de recrudescence des actes de cyberattaques et de programmes de surveillance.

Comment fonctionne la méthodologie O.S.C.A.R. ?

Afin de pouvoir répondre à ces craintes, les experts Sécurité de Devoteam en collaboration avec Devoteam Research and Innovation (DRI[1]) ont donc développé une offre d’analyse de risque liée aux environnements Cloud, nommée O.S.C.A.R.

O.S.C.A.R. peut s’adapter et servir plusieurs objectifs suivant la problématique de l’entreprise cliente : analyser les risques liés à une solution Cloud particulière déjà utilisée par les métiers sans accord de la DSI (« Shadow IT ») ou destinée à l’être dans le cadre d’un futur projet Cloud, comparer différentes offres Cloud sous l’angle des risques et de la sécurité, aider à la prise de décision pour migrer dans le Cloud…

La démarche O.S.C.A.R. repose sur une collecte d’information auprès des représentants du métier, mais aussi des responsables sécurité et des fournisseurs. Elle est réalisée par le biais d’entretiens basés sur un questionnaire « O.S.C.A.R. » et par une étude de la documentation du fournisseur décrivant son offre Cloud (SLA, contrats, choix techniques, certifications, etc.). Ces informations sont ensuite consolidées et analysées, permettant ainsi d’identifier et d’évaluer les risques liés à l’environnement du client suivant deux cas de figure différents : avec et sans Cloud.

Basé sur plusieurs publications et autres standards d’organismes reconnus du monde de la sécurité et/ou du Cloud (ENISA, NIST, CSA, ANSSI), l’outil fournit un panel de risques à étudier permettant de couvrir à la fois les aspects techniques, physiques, organisationnels et juridiques.

Quels bénéfices la méthodologie O.S.C.A.R. apporte-t-elle aux entreprises ?

O.S.C.A.R. est une démarche « flash » et outillée qui offre au client une visibilité globale des risques inhérents à l’utilisation d’une solution Cloud au sein de son système d’information. L’outil fournit aussi une liste de mesures issues du recueil de bonnes pratiques ISO/CEI 27002 qui permet de traiter les risques identifiés. Au final, sur la base des résultats issus de la démarche O.S.C.A.R., le client est capable :

de prendre en compte l’ensemble des scénarios de risques intégrés dans l’outil,
d’estimer les coûts de mise en place des mesures de traitement des risques,
d’évaluer le niveau de risque après application de mesures de sécurité.
Parmi les scénarios de risques intégrés à la méthodologie OSCAR, on note par exemple celui-ci : « le Plan de Continuité d’Activité (PCA) et/ou le Plan de Reprise d’Activité (PRA) n’est pas opérationnel ». Prendre en compte ce scénario est primordial lorsque les applications traitées dans le périmètre de l’étude sont critiques et qu’elles ont de fortes contraintes de disponibilité. Devoteam préconisera alors l’implémentation de bonnes pratiques (ISO 27002) et l’intégration d’un observateur pour le compte du client lors des tests PCA/PRA du fournisseur de la solution Cloud.

Par ailleurs O.S.C.A.R. permet :

d’industrialiser la réflexion autour de l’évaluation des risques,
d’optimiser la démarche d’externalisation des actifs des clients dans le Cloud lorsque les risques identifiés sont considérés comme acceptables.
Pour l’externalisation d’applications sensibles ou critiques, Devoteam préconise la réalisation d’une analyse complémentaire, pouvant comporter des audits techniques. Plus globalement, Devoteam recommandera au client souhaitant adhérer au Cloud :

Une souscription à une assurance contre les pertes de données ou tout autre incident de sécurité sur des applications hébergées dans le Cloud.
Un engagement des fournisseurs sur les pénalités en cas de défaillance de leurs services ou de pertes business liées à l’arrêt du service proposé.

O.S.C.A.R., une méthodologie déjà éprouvée auprès de plusieurs clients

A titre d’exemple, la méthodologie O.S.C.A.R. a été utilisée dans le cadre d’un besoin émis par un groupe leader dans le secteur de l’énergie pour mener une analyse de risque relative à la solution de Cloud choisie par ses directions métiers.

En s’appuyant sur cette offre de Devoteam, la DSI de ce groupe a voulu s’assurer de la conformité de cette solution Cloud avec les besoins et enjeux métiers d’une part, et avec la politique de sécurité Groupe d’autre part ; plus largement, la DSI a pu mettre en place un processus d’aide à la décision pour externaliser des applications dans le Cloud.

Avec Devoteam, les entreprises peuvent ainsi envisager leur basculement en environnement Cloud en toute sérénité et en tout cas, en toute connaissance de cause vis-à-vis des risques et en les limitant. Une précaution loin d’être un luxe…