Utiliser le cloud,
protéger les données

Utiliser le cloud,
protéger les données

Une stratégie classique de la numérisation consiste à externaliser les systèmes informatiques et les données dans le cloud

Mais dans la numérisation, il faut toujours donner la priorité à la protection des données personnelles. Dans les projets cloud, il est donc essentiel de connaître et de respecter les lois, les directives, les normes de chaque branche et les processus internes de l’entreprise, que l’on regroupe sous le terme de «conformité». Avec la transformation numérique, les exigences posées à la sécurité et la protection des données changent aussi: en plus des exigences de conformité strictes, les nouveaux scénarios de risques et menaces, les décalages dans les périmètres de sécurité, mais aussi les nouvelles options pour accroître la sécurité comptent parmi les défis rencontrés dans cette transformation.

RGPD: la protection des données au centre des préoccupations

Aucune entreprise ne peut se permettre de sombrer dans des problèmes de protection des données ! Le nouveau règlement européen sur la protection des données (RGPD), entré en vigueur en mai 2018, représente un thème essentiel à cet égard. Il est donc d’autant plus important d’anticiper et d’appliquer les répercussions des changements légaux connus dès le début de nouveaux projets dans l’informatique. Si ton entreprise saute cette étape, le projet cloud sera automatiquement fragilisé. Sans oublier qu'il faut aussi tenir compte des prescriptions de chaque branche, comme celles de la Finma ou la norme PCI-DSS dans le domaine des finances ou encore l’HIPAA dans la santé.

Outils de protection des données

Un outil important quand il s’agit de protéger et de sécuriser les données est la catégorisation des données. Il faut savoir quelles données seront traitées dans le cloud et si elles sont soumises à des règles en matière de conformité. Les directives strictes de protection des données du RGPD s’appliquent aux données personnelles sensibles, qui méritent donc une protection adéquate.

L’accès aux données dans le cloud depuis partout, avec des périphériques mobiles, est aujourd’hui presque devenu un standard pour le personnel gérant des informations. Il entre donc dans une zone fragile, qui ne peut pas être sécurisée avec des méthodes de sécurité classiques. Il faut garantir que seules les personnes autorisées pourront accéder à ces données. La démarche consiste donc à établir une gestion continue de l’identité et de l’accès (IAM en anglais) pour garantir la confidentialité, l'intégrité des données ainsi que la conformité.

En plus de la gestion de l’identité et de l’accès, le chiffrage de données représente le principal mécanisme technique de sécurité. Un fournisseur cloud qui ne propose pas de chiffrement ne doit plus se voir confier de commandes dans ce domaine aujourd'hui. Dans l’environnement de la protection des données, l’anonymisation des données peut quelquefois constituer une alternative supplémentaire. Elle aide à réduire la sensibilité des données.

La gouvernance cloud doit tenir compte des fournisseurs cloud

En mandatant un fournisseur cloud, une entreprise délègue la plupart de ses tâches de protocolage et de surveillance. Mais elle doit aussi surveiller son fournisseur. Une entreprise ne peut en effet prétendre à des dommages et intérêts que si elle peut prouver qu’il y a eu des pannes. Mais cette preuve ne peut être apportée que par des mécanismes de contrôle adaptés, ce qui implique la mise en place de tâches et de processus de gouvernance cloud.

datenschutz-cloud-projekte_ib

Ce n’est que si tu tiens compte de tous les aspects de protection des données et de sécurité en vigueur ainsi que toutes les révisions de lois déjà annoncées dans la planification, le développement et l’application de ton projet cloud que tu le construiras sur une base aussi solide que sûre.
Adrian

 


Une bonne planification te fait parcourir la moitié du chemin

L'Internet des Objets et les applications big data génèrent des montagnes de données dans le cloud, qui contiennent souvent des données très confidentielles et précieuses. Ces données ne s’arrêtent pas aux frontières nationales: elles peuvent être recueillies en Allemagne, enregistrées aux États-Unis et traitées en Inde. Il faut alors s’assurer que ces données ne soient pas manipulées, supprimées ou au pire rendues inaccessibles par des personnes non autorisées. La protection et la sécurité des données doivent donc constituer les principaux enjeux de la stratégie de numérisation. Dans le règlement de protection des données, l'idée consiste à réfléchir à la protection des données pour tous les projets informatiques et ceci s’applique aussi au cloud. Ce n’est que si tu tiens compte de tous les aspects de protection des données et de sécurité en vigueur ainsi que toutes les révisions de lois déjà annoncées dans la planification, le développement et l’application de ton projet cloud que tu le construiras sur une base aussi solide que sûre.

Garantir la protection des données des clients avec Trivadis

Trivadis propose des évaluations de sécurité et des audits au cours desquels nous vérifions notamment les bases de données pour savoir si elles sont conformes au RGPD, que les données soient sur le cloud ou stockées en interne. Nous disposons d'une équipe d’experts qui se chargent d’une analyse d'impact sur la confidentialité. Nous contrôlons donc les données et les processus de collecte de données pour savoir si le RGPD ou d’autres réglementations s'y appliquent. Nous aidons les entreprises à choisir leur fournisseur cloud pour qu’il réponde à toutes les directives et lois.

Trivadis dispose d’expériences variées dans des branches avec des données sensibles, comme les sciences humaines, l’automobile, les services financiers. Elle comprend donc les besoins de ton entreprise en ce qui concerne la protection des données dans le cloud. Appuie-toi sur la longue expérience de Trivadis, le pionnier dans le cloud, et sur notre expertise issue de centaines de projets cloud.

Tu as des questions ou besoin d'aide pour ton projet ?

Nous sommes là pour toi et serons ravis de t'aider.