Après un mouvement d’adoption des solutions cloud accéléré davantage encore par le confinement, les security officers doivent reprendre la main sur la gestion des risques. Alexandre Minarelli, Associate Partner au sein d’EY, partage ses recommandations en la matière.
L
es organisations n’ont pas attendu la crise sanitaire pour envisager leurs projets de migration vers le cloud et l’adoption de solutions SaaS. Depuis plusieurs mois, on constate un intérêt grandissant des acteurs luxembourgeois pour les services informatiques externalisés. «La crise du Covid-19 a parfois simplement précipité l’adoption de solutions cloud, notamment pour assurer le maintien opérationnel des activités», assure Alexandre Minarelli, Associate Partner, Cybersecurity & Data Privacy, au sein d’EY Luxembourg. «Cette accélération s’est parfois effectuée aux dépens du niveau d’exigence en sécurité informatique, comme en témoigne une récente étude réalisée par notre cabinet et l’International Association of Privacy Professionals (IAPP). Six security officers sur dix déclarent en effet que la situation a contraint leur organisation à adopter des solutions en dérogeant à la politique de sécurité de l’entreprise, notamment pour garantir le maintien des opérations.»
Un état des lieux post-Covid s'impose
Six mois après l’annonce d’un confinement généralisé, les acteurs luxembourgeois se sont approprié de nouveaux outils, qu’il s’agisse de plateformes cloud de type Azure ou AWS, d’outils collaboratifs et de partage, ou encore de solutions de type Software as a Service, facilitant notamment le travail à distance. Dans cette période de confinement, beaucoup d’entreprises ont aussi permis à leurs collaborateurs de se connecter depuis leur ordinateur personnel.
Alors que se profile un retour à une certaine normalité, avec de nouveaux équilibres entre télétravail et présence au bureau, il est important pour chacun de faire un état des lieux de la situation, en considérant notamment les aspects de sécurité informatique. «Il faut en effet prendre le temps de réévaluer les solutions adoptées et les pratiques mises en œuvre dans un contexte exceptionnel. Il est nécessaire de regarder si, d’une part, elles répondent effectivement aux nouveaux besoins associés au développement de l’activité et, d’autre part, si elles permettent de garantir la sécurité des opérations en ligne», poursuit Alexandre Minarelli. À partir d’une évaluation des risques, au regard des nouveaux modes de fonctionnement, les security officiers devront procéder à un premier «nettoyage. Ils devront prendre les mesures nécessaires à la sécurisation de l’activité face à une cybermenace qui n’a, elle, pas faibli avec la crise.»
On externalise le service, mais pas les risques relatifs
Il est important que chaque acteur, qui a mis en œuvre ou adopté une telle solution, prenne conscience qu’il n’externalise par les risques au même titre que le service. Selon l’expert d’EY, l’organisation reste garante et responsable de la protection des données. Elle doit s’assurer de garder la maîtrise de son environnement. «Avec l’adoption du cloud, de nouveaux risques se manifestent. En externalisant la gestion des solutions et des services auprès de nouveaux prestataires, on multiplie les dépendances. Dès lors, avant de pouvoir migrer vers le cloud, il faut pouvoir évaluer ses propres risques liés à l’utilisation de telles solutions», indique Alexandre Minarelli. «Qu’advient-il des données que je soumets à un traitement particulier via à une solution SaaS ? Quel usage en fait mon prestataire de services ? Les conserve-t-il ? Existe-t-il un risque de les voir exposées auprès de tiers ? Comment gère-t-il la sécurité du service fourni ? Il est important de définir un cadre précis, permettant l’évaluation de chaque solution utilisée ou de chaque service outsourcé au niveau du cloud.»
Les bonnes pratiques de sécurité en faveur de l’adoption du cloud
Selon l’expert du cabinet EY, ces solutions donnent davantage de flexibilité aux organisations et le sentiment que les services correspondants sont mieux protégés, sécurisés et contrôlés. Toutefois, les organisations doivent adopter une série de bonnes pratiques, en l’occurrence:
- mettre en place un processus d’identification et d’évaluation systématique des prestataires, y inclus ceux basés sur le cloud;
- exiger des garanties nécessaires, comme des certifications, un droit à l’audit, l’établissement de rapports SOC;
- évaluer le prestataire dans le temps sur base d’indicateurs de performance (KPI) et de risque (KRI) et exercer les clauses du Service Level Agreement en conséquence.
Le security officer doit agir en facilitateur
Avec l’adoption du cloud, le rôle des security officers est appelé à évoluer. «Plus que jamais, ils doivent se positionner en amont de tout projet de migration vers une plateforme ou une solution SaaS et agir pour supporter le business, un facilitateur de la transition, en veillant à garantir la sécurité et la conformité des solutions utilisées», ajoute Alexandre Minarelli. «En se mettant au service de l’évolution de l’entreprise et de la simplification des opérations, avec la mise en place d’une gouvernance appropriée, il parviendra plus efficacement à renforcer la cybersécurité au sein de son organisation et les investissements liés.»
