Avant de confier vos données aux mains numériques d’un tiers, mieux vaut s’enquérir d’un certain nombres de précautions.
1 – Le centre de données dispose-t-il d’une expertise dans votre secteur d’activité?
La liste des fournisseurs se réduit très vite lorsque l’on cherche ceux qui exercent dans le même secteur d’activité que le vôtre. Si ce n’est pas fondamentalement indispensable, c’est souvent préférable car le fournisseur disposera déjà vraisemblablement des accréditations nécessaires. Chaque secteur a ses propres exigences, ses propres risques, ses propres normes.
2 – Le centre de données du fournisseur est-il certifié en sécurité?
Attention aux certifications, il en existe plusieurs. Pour la sécurité, vous enquêterez pour savoir si le fournisseur applique la norme ISO 27001-27002 ou s’il a obtenu, dans le cadre d’une vérification comptable, une attestation NCMC/CSAE 3416 (ou une attestation SSEA 16 pour les États-Unis). L’objectif est de disposer d’un niveau d’assurance sur la sécurité, la disponibilité et la protection des données personnelles, ainsi que sur l’intégrité des transactions et la confidentialité.
Si le fournisseur ne s’est pas fait auditer, vous pouvez commander un audit de vos données chez le fournisseur, si vous avez une clause prévue à cet effet dans un contrat ou si vous négociez cet aspect comme prérequis.
3 – S’il héberge des transactions par carte de crédit, le centre de données est-il conforme aux normes PCI DSS 3.0?
Originellement créés pour harmoniser les exigences de sécurité des émetteurs de carte de crédit Visa et Mastercard, les normes PCI DSS 3.0 définissent les exigences de sécurité à respecter pour assurer la protection des numéros de carte de crédit et informations personnelles qui y sont attachées, notamment par le chiffrement des numéros de cartes de crédit. Elles sont destinées aux commerçants, aux sociétés émettrices de cartes bancaires, aux banques et aux hébergeurs de systèmes de paiement.
La version 2 de la norme reste en application jusqu’au 1er janvier 2015 et certains de ses domaines sont applicables jusqu’au 1er juin 2015, mais la version 3 est désormais en vigueur depuis le 1er janvier 2014 avec un déploiement progressif.
4 – Assurez-vous de la capacité de relève du centre de données
À propos de cette question, vous chercherez à savoir si la norme de continuité des affaires ISO 22301 cadre les opérations du centre de données du fournisseur. Les objectifs sont essentiellement de vous assurer de l’existence d’un responsable de la continuité, d’une politique de continuité ainsi que des différents plans et tests qui sont nécessaires à une bonne reprise des activités.
Pour cela, vous devrez au préalable avoir spécifié vos temps acceptables de reprise, en ayant de votre côté procédé à une analyse de vos risques d’affaires.
5 – Assurez-vous d’une bonne gestion des processus d’affaires, de la qualité et de l’environnement et de la sécurité au travail.
Demander en 2014 une certification de qualité ISO 9001 paraît être un minimum. Posez au fournisseur des questions à propos de la norme environnementale ISO 14001, de la norme de gestion de l’énergie ISO 50001 ainsi que de la norme de sécurité au travail OHSAS 18001.
6 – Faites encadrer le contrat par un juriste spécialisé en TI
On ne le dira jamais assez : le droit des TI a de grandes particularités et de grandes zones de flou qu’il appartient de traiter avec un professionnel expérimenté. Plus que jamais, faites-vous accompagner par des avocats ou des juristes spécialisés en droit des TI. Faites inclure dans votre contrat une clause d’audit et une clause de réversibilité. Joignez-y vos exigences de disponibilités, de maintenance, de performance et de reprise en cas de panne, ainsi que vos exigences de sécurité et de protection des données personnelles. Soyez exigeants en matière de rapport et de gestion des incidents.
7 – Modifiez vos assurances et étudiez les possibilités de transfert du risque
Faire migrer vos données chez un fournisseur fera modifier vos primes d’assurance. Étudiez-en l’impact et analysez vos options de transfert de risque.
La tendance est à l’externalisation par infonuagique, mais faire héberger ses données ne veut pas dire qu’on se débarasse d’une activité. Bien qu’elle soit gérée par un tiers, l’activité que vous externalisez reste sous votre administration et votre responsabilité. Alors, prenez les devants et posez les bonnes questions afin de pouvoir gérer vos risques correctement.
Avez-vous vécu de mauvaises expériences avec un fournisseur?