Cloud Bureautique - Accueil · entreprises de normaliser leurs choix de fournisseur, en créant questionnaire ... Tandis que l’Iso 27002 n’est ... domaine de la sécurité sont

Réflexions des établissements financiers du

Forum des Compétences

Cloud Bureautique

Avec la contribution de

http://atos.net/en-us/home.html

FORUM DES COMPETENCES 2

Propriété intellectuelle du Forum des Compétences

Tous droits de reproduction, d’adaptation et de traduction réservés.

Dépôt légal chez LOGITAS


Remerciements

Le Forum des Compétences remercie ses Établissements Membres qui ont participé à la réflexion et à la rédaction de cet ouvrage présentant Le Cloud Bureautique Dans le cadre de la protection du patrimoine Informationnel des entreprises.

Il tient à remercier particulièrement les personnes du groupe de travail qui ont contribué à cet ouvrage.

Par ordre alphabétique, Forum des Compétences – Atos

Marc ANDRIES Autorité de contrôle prudentiel et de résolution - ACPR

Fabien DAVID La Banque Postale

Jean François DIDIER BRED

Gil DELILLE Crédit Agricole SA

Jean Pierre GERARD Crédit Agricole CIB

Henri GUIHEUX SCOR

Christophe HISTA La Banque Postale

Damien JULLEMIER LCL

Elena KROPOCHKINA Crédit Agricole CIB

Mélanie de VIGAN Atos

Adam WOJNICKI Atos


Contenu 1 Bénéfices du Cloud / Enjeux stratégiques ................................................................................... 6

2 Normes, Standards et Certifications ............................................................................................7

2.1 Normes/Réglementations applicables dans le secteur banque & assurance ........................ 7

2.1.1 Fedramp ....................................................................................................................................................7 2.1.2 Cloud Security Alliance (CSA) ......................................................................................................... 7 2.1.3 Shared Assessment ............................................................................................................................... 8 2.1.4 Common Assurance Maturity Model ............................................................................................. 8 2.1.5 AICP American Institute of CPAs .................................................................................................... 8 2.1.6 ISO/IEC27000 ......................................................................................................................................... 9 2.1.7 Autres normes et certifications ....................................................................................................... 9

2.2 Patriot Act / FISAA ...................................................................................................................................... 10

3 L’offre du marché ......................................................................................................................... 11

3.1 Aperçu des solutions du Marché ........................................................................................................... 11

4 Les Services fonctionnels de la bureautique ............................................................................ 15

4.1 Messagerie ...................................................................................................................................................... 15 4.2 Collaboratif .................................................................................................................................................... 15 4.3 Web Conferencing ...................................................................................................................................... 15 4.4 Réseau Social d’Entreprise ..................................................................................................................... 16 4.5 Fichiers bureautiques ................................................................................................................................ 16 4.6 Applications bureautiques ...................................................................................................................... 16 4.7 Back-up de PC ................................................................................................................................................ 16

5 Typologie du Cloud ......................................................................................................................17

5.1 Les différents scénarios de Cloud messagerie ................................................................................. 17 5.2 Evaluation du risque pour les différents scénarios ....................................................................... 19

6 Fiches ............................................................................................................................................ 20

6.1 Fiche 1 – Souveraineté des données .................................................................................................... 20 6.2 Fiche 2 – Juridiction légale ....................................................................................................................... 21 6.3 Fiche 3 – Réversibilité / Destruction des données ........................................................................ 22 6.4 Fiche 4 – Certification des fournisseurs ............................................................................................ 23 6.5 Fiche 5 – Identification et classification des données ................................................................. 24 6.6 Fiche 6 – Etanchéité entre bénéficiaires du service ...................................................................... 25 6.7 Fiche 7 – Protection des données vis-à-vis du fournisseur de service .................................. 26 6.8 Fiche 8 – Protection des données vis-à-vis des tiers ..................................................................... 27 6.9 Fiche 9 – Conformité ................................................................................................................................. 28


6.10 Fiche 10 – Résilience / Continuité ....................................................................................................... 29 6.11 Fiche 11 – Gestion des Identités ........................................................................................................... 30 6.12 Fiche 12 – Interaction avec les applications Métier ..................................................................... 31

7 Conclusion .................................................................................................................................... 32


1 BÉNÉFICES DU CLOUD / ENJEUX STRATÉGIQUES Il convient de dire que le Cloud Bureautique offre divers avantages, en l’occurrence l’accessibilité, dans la mesure où on peut l’utiliser depuis n’importe quel terminal. Ce qui permet de combler les besoins des utilisateurs de tablettes qui ne disposent pas d’applications bureautiques préinstallées. Par ailleurs à travers les plateformes collaboratives hébergées dans le Cloud, les utilisateurs peuvent consulter et modifier les fichiers, ces fonctions facilitent le travail des collaborateurs dispatchés dans plusieurs sites.

Le Cloud offre également un accès privilégié aux technologies de pointe, de ce fait les structures qui n’ont pas assez de ressources peuvent disposer d’un environnement technologique et des dernières fonctionnalités offertes par les outils bureautiques dans le Cloud, on note aussi que le paiement à l’usage engendre des réductions de coûts substantielles. La prolifération des solutions dans le Cloud au sein des entreprises représente un enjeu stratégique pour les DSI dans la mesure où le Cloud doit être maîtrisé, implémenté et piloté. Il incombe à la DSI de faire le choix du maintien d’une compétence technique, éventuellement un expert qui puisse adapter le système informatique existant au Cloud et de maîtriser les changements organisationnels dus à la migration vers le Cloud.

Pour utiliser les outils bureautiques tels que les traitements de texte et la messagerie, il fallait au préalable installer une application bureautique sur son ordinateur. Mais avec l’émergence des services virtuels et la migration des suites bureautiques vers des environnements en Cloud privé ou public, les utilisateurs bénéficient d’une meilleure accessibilité ainsi que d’une forte flexibilité.


2 Normes, Standards et Certifications

L’utilisation croissante des services Cloud, pousse plusieurs organismes à mettre en place des programmes de normalisation qu’on détaillera par la suite. L’intérêt de ces initiatives est de standardiser les critères pour choisir un prestataire de Cloud.

2.1 Réglementations applicables au Cloud

2.1.1 Fedramp

FedRamp est un programme mené par le gouvernement américain avec la participation de Federal CIO Council, GSA (General Services Administration) et NIST (National Institute for standards and technology).

C’est un projet de grande ampleur, qui permet de mettre en place des méthodes efficaces et durables pour maîtriser les risques des fournisseurs de Cloud.

Par ailleurs le modèle fournit des exigences en termes de sécurité, de protection de la vie privée et des données du gouvernement, cette démarche peut être appliquée à tous les fournisseurs de Cloud.

2.1.2 Cloud Security Alliance (CSA)

Le CSA est un organisme non gouvernemental à but non lucratif qui favorise l’innovation dans le domaine de la sécurité du Cloud. Le groupe industriel conseille les entreprises qui utilisent le Cloud Computing au sujet des problématiques sécuritaires en faisant référence à la norme ISO 27001. CSA a publié la matrix Control Cloud pour évaluer les prestataires de Cloud et savoir si le client s’est posé les bonnes questions avant de recourir à un fournisseur.

On note aussi que le CSA propose un certificat de sécurité nommé CCSK (Certificate of Cloud Security Knowledge), les prétendants à ce certificat doivent passer un test à choix multiples.

En 2010 CSA a constitué un livrable nommé Consensus Assessments Initiative Questionnaire (CAIQ), qui va être exploité par les utilisateurs pour choisir un prestataire de Cloud.

Par ailleurs, en désuétude depuis 2010, une nouvelle version de la CAIQ est en cours d’élaboration, elle comporte plusieurs nouveaux projets tels que la confidentialité des données.

Open certification Framework

Est un programme de certification souple adopté par les fournisseurs de Cloud, il est structuré en trois niveaux de sécurité, chaque niveau représente un échelon supérieur en matière de transparence:

Niveau 1 : l’autoévaluation STAR, les fournisseurs de Cloud déposent des rapports dans une base de données, pour prouver leurs conformités avec les programmes de certification, notamment CAIQ et CMM.


Les programmes d’évaluation des risques du Cloud ne sont pas adaptés à l’existence d’une tierce partie, de ce fait les clients peuvent bénéficier des programmes de certifications complémentaires tels que :

Niveau 2 : L’utilisation des normes ISO, CSA, CCM tout en intégrant les critères de performance de l’entreprise pour juger le degré de maturité du Cloud. Cette étape donnera lieu à une notation.

Niveau 3 : En cours d’élaboration, il a pour objectif de mettre en place un processus de suivi.

2.1.3 Shared Assessment

Est un programme qui permet d’obtenir un rapport sur le fournisseur de Cloud, sans pour autant être considéré comme étant une certification. Shared Assessment a été créé par Bank of American Corporation, The Bank of New York Mellon, Citi, JPMorgan Chase & Company, Bankcorp États-Unis, et Wells Fargo & Company en collaboration avec les principaux fournisseurs de services de Cloud et les cabinets d’audit (Big 4), l’intérêt de ce consortium est de permettre aux entreprises de normaliser leurs choix de fournisseur, en créant questionnaire SIG qui permet aux entreprises d’auditer le processus de contrôles de sécurité.

Disponible sous licence à des non membres La version 7 du SIG, contient des éléments spécifiques au contrôle de l’environnement

Cloud

2.1.4 Common Assurance Maturity Model Common Assurance Maturity Model (CAMM) est une initiative britannique qui permet d’évaluer la maturité des fournisseurs de Cloud sur une échelle de 1 à 5 dans différents domaines, y compris la sécurité.

Cette approche a été arrêtée depuis 2011, car il est difficile de mettre en œuvre une méthode qui quantifie le niveau d’effort de sécurité.

2.1.5 AICP American Institute of CPAs Est un organisme qui regroupe les comptables publics agrées par l’État. Son rôle est d’apporter une aide à ses membres en termes de ressources, d’information et de leadership.

L’association fédère plus de 394 000 membres dans 128 pays, qui défendent l’intérêt public à travers l’application des normes de déontologie et d’audits.

Statement on Auditing Standards SAS, est une déclaration d’audit réalisée par l’organisme technique de l’AICPA nommé l’ASB. Il fournit des directives aux auditeurs lors de l’évaluation du contrôle interne ainsi qu’aux auditeurs des états financiers. Par ailleurs il existe deux types de SAS :


Type 1 : Inclus l’avis de l’auditeur sur l’authenticité de la présentation descriptive de l’organisation auditée.

Type 2 : Comprend le rapport de l’auditeur de type 1, ainsi que son avis sur le déroulement de la période de contrôle.

Le SAS 70 a été remplacé par le SOC, un rapport d’organisation des services de contrôle.

SAS 70 et SOC 1 sont des standards de reporting et ne font pas référence aux contrôles de sécurité. De ce fait ils ne doivent pas être considérés comme des standards de sécurité. Tandis que Le SOC 2 et 3 ont été développés pour faire face à la recrudescence du Cloud Computing.

2.1.6 ISO/IEC27000

ISO / IEC 2700 est une référence mondiale, qui regroupe plusieurs normes génériques. Par ailleurs ISO 21002 est applicable au Cloud Computing. ISO 27001 présente la démarche à suivre pour implémenter contrôler et améliorer continuellement un système de management de la sécurité de l’information.

Tandis que l’Iso 27002 n’est pas défini comme étant une certification mais plutôt comme un ensemble de directives pour mieux contrôler le SMSI.

ISO / IEC 27017 est une norme de bonne pratique en termes de contrôle de sécurité pourles services de Cloud Computing.

ISO/IEC 27018 complémente 27002 sur les aspects de protection de la vie privé dans unenvironnement en Cloud public.

2.1.7 Autres normes et certifications Les différentes certifications et normes mentionnées au préalable concernent les personnes morales, mais il subsiste des normes mondialement reconnues qui ont pour objectif de certifier l’expertise des personnes physiques qui travaillent dans le domaine de la sécurité de l’information.

ISC² (Information…) est un organisme de certification des professionnels de la sécurité de l’information IT connu pour la certification CISSP. Cette démarche trouve son origine dans l’importance que représentent les problématiques sécuritaires de nos jours. Les experts dans le domaine de la sécurité sont de plus en plus sollicités et pour avoir une crédibilité auprès des entreprises, une certification personnelle comme celle proposée par ISC² représente un avantage indéniable pour les professionnels.

ISC² en partenariat avec le CSA a créé une certification pour les professionnels du Cloud computing.

2.2 Patriot Act / FISA

Le Patriot Act est une loi votée par le congrès américain et promulguée par George W. Bush, après les attentats du 11 septembre et qui facilite l’accès aux données des individus et des entités étrangères résidants aux États-Unis. La loi permet notamment aux responsables fédéraux d'utiliser les outils déjà disponibles pour enquêter sur le crime organisé et le trafic de drogue.

Le Patriot Act facilite le partage d’informations et la coopération entre les organismes gouvernementaux afin qu'ils puissent mieux collaborer, par ailleurs le Patriot Act a augmenté les peines pour les individus qui commettent des crimes terroristes et on note finalement que la loi a été est mise à jour pour tenir compte l’émergence de nouvelles technologies.

Contrairement aux idées reçues, le Patriot Act n’est pas une procédure juridique nouvelle, mais une loi qui se base sur des dispositifs légaux américains qui existent, en l’occurrence le mandat FISA et la National Security Letters.

La loi sur la surveillance permet aux bureaux fédéraux d’accéder à des informations personnelles notamment les réservations d’hôtels et locations de voitures de personnes suspectées de mettre en danger la sécurité du territoire américain. Pour élargir les champs de surveillance, le Patriot Act permet d’obtenir une dérogation FISA pour disposer des informations hébergées dans le Cloud, à condition que le FBI prouve que les informations collectées permettront de protéger le pays contre une menace terroriste ou pour entraver une tentative d’espionnage externe.

Les différentes extensions des dispositifs FISA, par les amendements du Patriot Act soulèvent le problème de la confidentialité des données collectées. De fait l’article 215 du Patriot Act stipulant que les prestataires de services Cloud doivent considérer la démarche du FBI d’extraire des données du Cloud comme étant un acte relevant de la sécurité du territoire, il en résulte que les prestataires ne peuvent pas informer leurs clients que les informations hébergées dans le Cloud ont été consultées.


11 Forum des Compétences

3 L’OFFRE DU MARCHÉ 3. 1 Aperçu des solutions du Marché

D’après une étude réalisée par le cabinet Gartner, le taux d’utilisation des suites bureautiques hébergées dans le Cloud atteindra 33% en 2017.

Cette hausse exponentielle pousse plusieurs éditeurs et entreprises de services informatiques à développer leurs propres services de Cloud bureautique qui généralement incorporent des outils de traitement de texte, de présentation, des tableurs ainsi que des plateformes de travail collaboratif tels que la messagerie instantanée.

Solutions Fournisseurs Fonctions

Apple Iwork Apple

(États-Unis)

Apple met à disposition des personnes inscrites à son programme développeurs une suite bureautique hébergée sur son service Icloud.

• Depuis 2013 accessible aux utilisateursd’ICloud

• Une suite bureautique typique avec un Pages,Numbers et un Keynote

• Accès en anglais et à l’heure

Document Compliance Management

BrainLoop Basée sur la solution de sécurité SaaS (Software as a Service) de Brainloop. Elle permet l'édition et l'échange de documents ultraconfidentiels

• Chiffrage systématique (AES 256 bits)• Protection des documents contre des accès

non-autorisés (interne et externe)• La gestion intégrée de documents• accès permanent et sécurisé

CSC Dynamic Desktop

CSC

(États-Unis)

Solution de bureautique, les clients peuvent profiter d’un service de Cloud privé ou public, Issue d’un partenariat entre VMware, VCE, Cisco et EMC.

• Espace personnel accessible en BYO• Données hébergées dans un serveur central• Accessible via un réseau local, à distance grâce

à un VPN sécurisé ou à travers l’Internetpublic

• La technologie « smooth roaming » permetaux utilisateurs d’accéder à leurs espaces debureau personnalisable à distance

• Système de récupération des données en casde sinistre


Google App for Business

Google

(États-Unis)

Suite bureautique basé dans le Cloud, dispose de plusieurs fonctionnalités telles que : Gmail, Google agenda, Google Drive pour stocker les fichiers dans le Cloud, documents texte et des feuilles de calcul.

• Authentification forte• Stockage automatique des e-mails• Filtrage anti-spam• Possibilité d’effacer les messages à distance en

cas de vol• Modification des fichiers en temps réel• Outils disponibles en mode hors connexion

IBM Docs IBM

(États-Unis)

La suite bureautique d’IBM offre des outils de collaboration et de traitement de texte, un tableur une plateforme de présentation qui permet d’attribuer une partie du document à un collaborateur.

• Possibilité de modifier en ligne à travers lafonction coédition

• Possibilité de filtrer les commentaires• Virtualisation des applications en mode

déconnecté

Office 365 Microsoft

(États-Unis)

Nouvelle version du BPOS (Business Productivity Online Suite), une plateforme d’échange de mails et de communication en ligne.

• Vise le marché des TPE et PME• Une messagerie électronique de 25 Go• Accès à la suite bureautique office• Les données échangées ne sont pas utilisées

pour des fins publicitaires• Possibilité de supprimer les données

PostFiles et iExtranet Oodrive Une solution sécurisée pour partager des fichiers volumineux entre les collaborateurs et de travail collaboratif en ligne :

• Compatibles avec la majeure partie dessystèmes d’exploitation et des navigateursWeb

• Gestion quotidienne de la solution d’échangede fichiers volumineux (création des contacts,gestion des droits d'accès...)

• Possible de définir les droits d'accès au niveaude chaque dossier partagé ou bien au niveaudes contacts.

• Il est possible de définir des droits d'actionspécifiques à chaque contact


Cloud Office Oracle

(États-Unis)

Une suite bureautique qui concurrence les applications de Google et Microsoft, il fait partie de la suite Open Office d’Oracle

• Une suite bureautique qui contient un tableuret un logiciel de présentation entre autres

• Un format ouvert ODF (Open DocumentFormat)

• Possibilité d’y accéder via les plateformesmobiles

• Compatible avec Microsoft Office• Le client peut choisir une version où la

solution est hébergée en interne ou lapossibilité de l’héberger chez l’éditeur

• Possibilité d’éditer les présentations horsligne

Cloud Together Orange

(Europe)

L’offre de Cloud bureautique d’Orange, permet un accès à des outils de collaborations et traitement de texte entre autres.

• Accessible depuis n’importe quel terminal• Formation effectuée par les collaborateurs

d’Orange• Solution prête à l’emploi• Orange gère l’infrastructure (Anti spam,

antivirus…)

Dynamic Services T-System

(Europe)

Réalisé en partenariat avec VMware il comprend : • Accès à Microsoft Exchange, Lync et

SharePoint via un Cloud privé sécurisé • Disponible via le réseau de l’entreprise ou à

travers les plateformes mobiles et l’Internet ;• L’accès aux Data Centers s’effectue via une

liaison VPN sécurisée• Un Cloud privé qui respecte la législation

européenne et allemande en termes durespect de la vie privée

• Conçu pour plus de 5000 utilisateurs

Numergy Thales / SFR /Caisse des dépôts

(Europe)

Cloud souverain français qui offre : • Stockage de suite bureautique dans le Cloud• L’outil Raid garantit la confidentialité et la

sécurisation des données personnelles desclients, et permet de gérer toutdysfonctionnement du système

• Mise en place d’un Security Operation Systempour détecter en temps réels les éventuellesattaques

• Possibilité de personnaliser la politique desécurité

• Le client bénéficie d’une architecturedupliquée


Zoho writer, Sheet. Zoho

(Europe)

Suite bureautique accessible gratuitement, la plateforme engendre des bénéfices grâce à la publicité.

• L’interface est disponible en français mais lesservices liés à l’utilisation sont en anglaisPossibilité d’ajouter les personnes quipeuvent effectuer des éditions


4 LES SERVICES FONCTIONNELS DE LA BUREAUTIQUE

Une offre bureautique est un ensemble de logiciels qui ont pour objectif d’automatiser les tâches bureautiques.

4.1 Messagerie

La messagerie permet d’échanger des messages et des documents, via des fonctions de saisie, de distribution et de consultation

4.2 Collaboratif

Le travail collaboratif est le processus par lequel plusieurs individus, groupes ou systèmes travaillent ensemble, mais à un niveau nettement supérieur à la coordination ou à la coopération, la collaboration implique généralement la planification conjointe, les ressources partagées et la gestion des ressources conjointes. Elle met en jeu des processus de communication synchrones ou asynchrones.

Gartner a défini l’Entreprise Content Management comme suit :

« La gestion des contenus d’entreprise (ECM) est la convergence de la gestion des documents, de la gestion des contenus web et d’autres technologies notamment collaboratives dans une solution complète dédiée à une exploitation optimale des contenus.

La plupart des organisations devraient prévoir la mise en œuvre de la gestion des contenus dans l’ensemble de l’entreprise et le développement de stratégies qui tiennent compte des exigences organisationnelles. L’ECM est une composante d’infrastructure stratégique qui soutient des processus « métier » verticaux clés (comme par exemple dans le secteur public le traitement des demandes de remboursement de soins médicaux et dans le secteur financier le traitement des prêts hypothécaires) ainsi que des processus transversaux clés (comme la gestion de la conformité légale et réglementaire) qui recoupent plusieurs fonctions de l’entreprise. À long terme, l’ECM permettra aux organisations de réduire les coûts et de pallier les risques associés à l’intégration de produits de gestion des contenus disparates ».

4.3 Web Conferencing

Les outils de communications unifiées permettent de réaliser des réunions ou des rencontres en web conférences. Cela permet notamment aux membres du groupe qui sont géographiquement éclatées d’échanger entre elles. Ces acteurs peuvent donc être en temps réel connecté sur l'outil et avec un simple clic démarrer la vidéo conférence. Les membres peuvent participer via leur micro et peuvent voir leur interlocuteur.


4.4 Réseau Social d’Entreprise

Le réseau social c'est le socle social de l'entreprise, cet outil permet aux différents membres du groupe de l'entreprise d'interagir entre eux mais aussi de dynamiser les échanges que ce soient des échanges en termes de bonnes pratiques ou d'informations ou de documents. Les membres peuvent réagir à des post et peuvent commenter et publier des informations.

4.5 Fichiers bureautiques

Un espace de stockage centralisé qui permet de synchroniser les données entre les différents équipements utilisateurs (Ordinateurs, tablettes, Smartphone). Cette solution permet également d’échanger des fichiers de manière sécurisée avec les différents collaborateurs internes ou externe.

4.6 Applications bureautiques

Applications bureautiques sont des outils de production et de communication(Traitement de textes, tableur, logiciel de présentation, etc...).

4.7 Back-up de PC

Le Back up est une sauvegarde de fichiers pour prévenir l’éventualité de l’altération des fichiers originaux.


5 TYPOLOGIE DU CLOUD

5.1 Les différents scénarios de Cloud messagerie

Le Cloud messagerie s’appuie sur la juxtaposition de 5 couches, la fondation de l’architecture est constituée d’un moteur IaaS en guise d’usine Cloud qui génère une connectivité réseau ainsi que des capacités de stockages et de calculs. En dessus une infrastructure disponible à la demande par la suite une couche applicative, dans le cas d’espèce une application de messagerie, et finalement une plateforme d’accès, on pourrait éventuellement ajouter une couche organisationnelle de messagerie. Les différentes couches sont mobilisables et configurables de manière rapide, les modalités d’usages se font en fonction de la volonté du client.

À travers des différentes couches, 6 scénarios distingues de Cloud messagerie seront constitués.

Le premier scénario est représentatif de l’outsourcing classique, le prestataire de service Cloud héberge toute l’infrastructure ainsi que les autres couches, mais tous les services sont dédiés au client.

Le deuxième scénario, c’est du Cloud privé dédié, typiquement le client détient toutes les couches sauf le moteur Iass. Le Cloud Privé est par essence un système restrictif en termes d’accès mais il reprend le paradigme du Cloud public via la virtualisation pour réduire les coûts, tout en offrant une individualisation des applications et de l’accès.


Le troisième scénario, c’est du Cloud privé mono-tenant le moteur Iaas et l’infrastructure sont mutualisés, tandis que l’application est segmentée par le client et les accès sont dédiés. Malgré le fait que l’infrastructure soit mutualisée, le prestataire prend en compte les enjeux stratégiques de l’entreprise en ce qui concerne la gouvernance et la confidentialité des données. Ce qui permet au client de bénéficier de divers avantages tels que, rapidité du déploiement, possibilité d’incorporer des machines virtuelles, tout en ayant une partie des couches notamment l’application et l’accès hébergés chez le prestataire, ce dernier s’engage à garantir la transparence de l’utilisation des données.

Le quatrième scénario, le cas du Cloud privé mutualisé, l’infrastructure notamment le serveur et le stockage sont mutualisés tandis que la segmentation se fait à l’intérieur de l’application et l’accès reste propre au client. Dans ce cas de figure le client a un accès via un réseau privé à des infrastructures virtuelles mutualisées, la restriction d’accès permet une meilleure traçabilité des données.

Le cinquième scénario, toutes les couches sont mutualisées, c’est ce qui caractérise le Cloud public, dans la mesure où plusieurs utilisateurs peuvent exploiter les ressources mises à disposition par le prestataire, l’accès se fait via l’internet ou un accès plus spécifique et contractuel.

Le sixième scénario, est représentatif du Bring Your Own Mail box, en d’autres termes un accès partagé aux services de messagerie, ainsi le client peut accéder à sa boite mail depuis n’importe quel support (Smart phone, Tablette…) ou en mode déconnecté pour pouvoir lire les emails à distance. Dans le cas du BYO mail box toutes les couches sont mutualisées.


5.2 Évaluation du risque pour les différents scénarios

Thèmes : Scénario 1 : Outsourcing traditionnel

Scénario 2 : Cloud privé dédié

Scénario 3 : Cloud privé mono-tenant

Scénario 4 : Cloud privé mutualisé

Scénario 5 : Cloud public

Scénario 6 : BYO Service

Juridique / Légal : Juridiction légale applicable Contraintes réglementaires Archivage Légal

Stratégique : Souveraineté des données Bonne santé du fournisseur / pérennité du service

Contractuel : Gouvernance SLAs et pénalités Réversibilité / Destruction des données Sous-traitance

Protection des données : Identification et classification des données Traçabilité des accès aux données Étanchéité entre bénéficiaires du service Protection des données vis-à-vis du fournisseur Protection des données vis-à-vis des tiers

Conformité : Auditabilité par le souscripteur Auditabilité par le superviseur du souscripteur Contrôles de sécurité et indicateurs proposés Traçabilité

Autres : Résilience du service / continuité Gestion des identités Interopérabilité avec les applications Métier


6 FICHES

6.1 Fiche 1 – Souveraineté des données

Description

Risques

Mesures d’atténuation

• Capacité de l’offreur à garantirla localisation des données

• Droit applicable à l’offreur• Droit applicable aux

personnels de l’offreur• Clauses de réversibilité• Chiffrement des données (au

niveau champ ou au niveaudocument, avec les clésdétenues par le client)

Exemples de solutions et/ou d’offres

• Solutions de Cloud privé fournis par des sociétés françaises oueuropéennes

• Solutions de chiffrement compatibles avec des solutions de typeGoogle comme Cipher Cloud


6.2 Fiche 2 – Juridiction légale

Description L’utilisation du Cloud soulève quelques problématiques en termes juridique, notamment le respect de la confidentialité des données et le manque de transparence quant à la localisation des données.

Il convient donc avant de s’engager avec un offreur de services dans le Cloud, d’évaluer les risques et de s’assurer que le prestataire respectera contractuellement la loi informatique et liberté.

La CNIL a mis en place différentes directives pour permettre aux entreprises plus particulièrement les PME, d’avoir une connaissance juridique avant de s’engager avec un fournisseur de Cloud.

Risques Abus à des fins d’intelligence économique dans l’application d’une loi permettant l’accès aux données par des autorités d’un pays tiers, notamment FISA, Patriot Act.


• Capacité de l’offreur à garantir la localisation des données• Nationalité de l’offreur• Clauses de réversibilité• Chiffrement des données


Identifier la nature des données qui seront hébergés dans le Cloud et leurs traitements, de ce fait le client doit clairement distinguer :

-Les données critiques-Les données ayant une dimension stratégique pour l’entreprise-Les données utilisées dans les applications métiers

Les collaborateurs peuvent échanger des données sensibles via notamment les plateformes de travail collaboratif dans le Cloud, dans ce cas le client doit s’assurer que seule une partie des données est transférée dans le Cloud.

Par ailleurs il faut prendre connaissance de la spécificité des données transférées dans le Cloud si elles ne sont soumises à des juridictions qui nécessitent un traitement de données particuliers

La CNIL propose également de recourir à la méthode EBIOS pour évaluer les risques liés à l’utilisation des services en Cloud.

Au vue des contrats standardisés et d’adhésion proposés par les prestataires de services dans le Cloud, la CNIL préconise que le fournisseur de service doit être considéré comme étant responsable du traitement dans la mesure où il participe au processus de traitement de données sensibles.


6.3 Fiche 3 – Réversibilité / Destruction des données

Description La réversibilité consiste à reprendre la main sur des données ou ressources externalisées auprès d’un fournisseur, pour les positionner auprès d’un autre fournisseur, ou tout simplement les réinternaliser dans son SI.

Cette opération peut s’avérer particulièrement complexe dans le cas du Cloud Computing, si elle n’a pas été étudiée et définie dès la phase de contractualisation. A l’extrême, elle pourrait engendrer des situations de blocage, ou de dépendance à l’égard d’un prestataire unique.

Outre la problématique de restitution, l’assurance de la destruction des données confiées est également un point d’attention.

Risques • Situations de blocage, ou de dépendance à l’égard d’un prestataire unique

• Absence d’interopérabilité des données hébergées dans le Cloud, avec son SIou d’autres services Cloud.

• Perte de données (Oubli dans l’inventaire des données, document et supportfourni, période de conservation et de restitution trop courte, etc…)

• Divulgation ou exploitation de données non détruites par un fournisseur

• Facturation des opérations de réversibilité et/ou de destruction de données (siles coûts ne sont pas définis dans le contrat

• Surcoût non prévu engendré par la ré internalisation ou le transfert de données (besoin d’assistance de l’opérateur Cloud, contrôle d’intégrité et d’exhaustivité des données restituées, conversion de format, import manuel, etc…)

• Plan de réversibilité non défini (si simplement prévu dans un contrat),inapplicable ou non testé régulièrement

• Impact sur la continuité de service (opérations de réversibilité intrusives, SLAnon garanti sur cette période, etc…)

• la réversibilité doit également couvrir ce périmètre de l’archivage


• Clauses de réversibilité classiques des contrats d’outsourcing

• Effacement sécurisé des médias ayant servis à stocker les données (procédures, formulaire d’opération avec transfert de responsabilité, certificats de destruction émis par des brokers, etc…)

• Définition d’une stratégie de réversibilité (procédure de réversibilité et actualisation annuelle). Éventuellement, tests des procédures de réversibilité (ex : adossement aux tests des plans de continuité d’activité).


• Connecteurs possibles avec le SI pour faciliter la migration


6.4 Fiche 4 – Certification des fournisseurs

Le Cloud Computing soulève un certain nombre de nouvelles problématiques relatives à la confiance, gouvernance, la responsabilité, l’assurance… Cela nécessite un nouveau modèle pour évaluer les risques associés.

Il existe actuellement une initiative européenne en cours « European Cloud Strategy » qui vise à accélérer et augmenter l’utilisation du Cloud Computing dans l’économie. Une certification pour les fournisseurs de Cloud est à l’agenda.

Ce besoin de certification provient de la difficulté des utilisateurs du Cloud à obtenir des engagements suffisants de leurs fournisseurs :

- Prendre connaissance de la conformité juridique ainsi que des engagementscontractuels

- Définition et répartition des responsabilités- Transformer les exigences dans le Cloud en termes de

langage/Commandes /Contrôle- Des procédures d’identification pour une évaluation ex-ante des services de

Cloud Computing- Vérifier continuellement l’exécution des termes du contrat de services Cloud

Le sujet de la certification soulève un certain nombre de challenges : - Établir une certification mondiale qui puisse limiter la duplication des modèles

de certification- Formaliser les exigences spécifiques de l’industrie- Aborder les différentes exigences de l’industrie- Assurer la conformité constante du fournisseur de services Cloud en termes

de sécurité- Appliquer les éléments présentés au préalable tout en prenant en compte

l’évolution technologique du CloudLe CSA (Cloud Security Alliance) apporte un framework de certification décrit ci-dessous :

Risques L’absence de certification ou une certification de l’offreur ne couvrant pas les risques de la solution recherchée


Cf. chapitre sur les Normes/Certifications



6.5 Fiche 5 – Identification et classification des données

Description La majeure partie du patrimoine des banques est immatérielle, et une part importante de ce patrimoine doit voir sa confidentialité protégée. En effet, les revenus des banques résultent in fine de manière significative de :

• La confiance que leurs clients ont dans la confidentialité des informations qu’ils lui communiquent pour leurs projets patrimoniaux par exemple (banque dedétail)

• La confiance nécessaire aux grandes entreprises pour qu’elles puissentdiscuter ouvertement avec leur banquier conseil de leurs projets stratégiques(banque d’affaires)

• De la connaissance intime du milieu économique et du réseau d’affaires quela banque a pu tisser avec ses clients (avantage concurrentiel pour lesbanques)

• Du secret qui s’impose aux opérations de marché lorsqu’elles sont en phasede préparation (obligation réglementaire, et nécessaire pour capter lesopérations suivantes)

• Etc.Par ailleurs la réglementation a des exigences strictes en matière de secret bancaire.

Risques Risque d’atteinte à la confidentialité des données, que ce soit par : • Un groupe de hackers,• Des criminels en bande organisée,• Des concurrents,• Une entité étatique (cf. rapport Mandiant, affaire Prism)

L’usage de la bureautique rend difficile l’identification et la classification des données. L’outil non structuré ne canalise pas l’utilisateur comme peut le faire une application métier. L’utilisation du Cloud bureautique augmente ainsi le risque.

En cas de déficience d’identification ou de classification des données, risque accru de fuite de données. Une des problématiques spécifiques à la messagerie est qu’il est important de ne pas dégrader les fonctionnalités mises à disposition de l’utilisateur, et de lui amener une facilité d’utilisation (fonctionnalités de recherche, accès à la messagerie depuis des mobiles).


Toutes les données ne sont pas toutefois de même niveau de confidentialité, au vu de la réglementation ou de l’impact de leur divulgation. Il importe donc de déterminer celles qu’il convient vraiment de protéger, avec le niveau de protection associé.

Quel que soit le scénario retenu, il est nécessaire de répertorier les informations et de les classifier par niveau de confidentialité (mesures : définir une politique de classification, lancer une campagne de classification, mettre sur pied une organisation, appuyée sur quelques outils, pour faire vivre la classification des données de la banque). Les utilisateurs doivent être sensibilisés au fait que la messagerie est externalisée.


Il est nécessaire de répertorier et contrôler l’utilisation des solutions de Cloud au sein de l’entreprise.

Il est donc recommandé que les offreurs puissent proposer des fonctionnalités de classification.


• Classification forcée ou automatisée de documents.• Mise en œuvre de solutions de DLP en amont de solution de Cloud.

6.6 Fiche 6 – Étanchéité entre bénéficiaires du service

Description Les établissements financiers traitent des données confidentielles de ses clients et sont en obligation d’assurer la protection de ces données vis-à-vis des tiers.

De même ces établissements possèdent des documents internes de caractère « stratégique » (ex. dossiers de fusion-acquisition, les plans RRP etc.) qu’il faut protéger et dont toute divulgation pourrait induire des pertes importantes pour l’entreprise ou nuire gravement à l’image de la marque.

Risques Accès non autorisé aux données par des clients du même service et potentiellement des concurrents Le risque augmente avec le degré de mutualisation :

- Au niveau applicatif,- Au niveau infrastructure, stockage.


• Afin de vérifier l’étanchéité entre bénéficiaires du service et l’absence defaille dans l’application Cloud qui permettrait d’accéder à un client auxdonnées d’un autre client, une préconisation consiste à faire un testd’intrusion par une entreprise spécialisée,

• Les tests d’intrusion peuvent être initiés par le fournisseur, ou réalisés parun tiers indépendant.

• Enfin les mesures de protection par le chiffrement sont de mêmeapplicables (voir la Fiche « Protection des données vis-à-vis du fournisseurdu service »)

• Selon niveau de sécurité attendu, aller jusqu’à dédier l’environnementvirtuel ou physique

• Solutions de sécurisation, en fonction de la criticité :o Sonde de détection d’intrusiono Solution de corrélation de logs + monitoring pour identifier les

tentativeso Journalisation/Audibilité des accès/actions non autorisés



6.7 Fiche 7 – Protection des données vis-à-vis du fournisseur de service


De même ses établissements possèdent des documents internes de caractère « stratégique » (ex. dossiers de fusion-acquisition, les plans RRP etc.) qu’il faut protéger et dont toute divulgation pourrait induire des pertes importantes pour l’entreprise ou nuire gravement à l’image de la marque.

Risques Accès non autorisé aux données par le fournisseur du Cloud

- Administrateur de stockage- Administrateur de l’application- Etc…

Risque : - Malveillance- Espionnage économique- Surveillance imposée par des lois spécifiques (selon la nationalité du

fournisseur et/ou de l’administrateur)


1/ Une mesure de protection consiste à chiffrer les données au moyen de clefs détenues par l’entreprise ou par un tiers de confiance ne disposant d’accès aux données. Il est possible d’appliquer le chiffrement sur plusieurs niveaux :

• Niveau 1 « Champs » spécifiées dans une application ou un fichier• Niveau 2 “Fichiers”: fichiers entiers• Niveau 3 “Infrastructure (IAAS)” ex. disque entier

Au niveau 1 le chiffrement ne s’applique qu’aux données sensibles, ce qui permet de maintenir les fonctionnalités classiques de l’application et même avec certaines solutions de chiffrement les opérations sur les données chiffrées (ex. recherche, consolidation, etc…).

Au niveau 2 le chiffrement porte sur les fichiers entiers, dans ce cas la fonction de recherche et autres opérations sont perdues sur les données chiffrées (sauf si elles ont été précédemment indexées mais dans ce cas la question de chiffrement d’index se posera).

Au niveau 3 le chiffrement s’applique au niveau de l’infrastructure, par exemple par un chiffrement du disque ou d’un dispositif de stockage. Ce type de chiffrement est transparent pour l’application et permet donc de garder toutes les fonctionnalités. Par contre ce type de chiffrement ne protégera pas contre l’administrateur de l’application s’il est dans le Cloud.

2/ Gestion des accès aux documents - Contrôle de l’utilisation de la donnée en fonction de sa criticité (possibilité

d’interdire de copier/envoyer etc…)- Gestion des droits fins (téléchargement, visualisation, impression, copie,

suivi)o Protection contre le suivi de documents, absence de traces sur le

poste de l’utilisateur, …


- Suivi des documents téléchargés par l’application de filigranes (utilisateur,date, …)

3/ Nationalité et localisation du fournisseur/des administrateurs

Cf. fiche 2.


Chiffrement • Niveau 1 « Champs » spécifiées dans une application ou un fichier

o CipherCloud, Perpecsys• Niveau 2 “Fichiers”: fichiers entiers

o BoxCryptor, Cloudfogger• Niveau 3 “Infrastructure (IAAS)” ex. disque entier

o Porticor, Vormetric

DRM / Échanges sécurisés / gestion des droits fins - BrainLoop, Oodrive

6.8 Fiche 8 – Protection des données vis-à-vis des tiers


De même ces établissements possèdent des documents internes de caractère « stratégique » (ex. dossiers de fusion-acquisition, les plans RRP etc.) qu’il faut protéger et dont toute divulgation pourrait induire des pertes importantes pour l’entreprise ou nuire gravement à l’image de la marque.

Risques Accès non autorisé aux données par des tiers

• Au moment du transport des données du SI de l’entreprise vers le Cloud• Aux données stockées dans le Cloud


• Afin de protéger les données lors de leur transfert, une mesure de protectionclassique consiste à chiffrer toutes les données qui transitent sur le réseau public (Internet) ou interne. Ainsi l’utilisation de protocoles de transport chiffréss’impose (HTTPS, IPSEC,…)

• Pour protéger les données stockées il existe deux options (qui peuvents’appliquer simultanément) :

o Chiffrer les données (voir la Fiche Protection des données vis-à-vis dufournisseur du service)

Sécuriser l’accès aux donnés : stocker les données dans un Datacenter surveillé 24h/24h , 7j/7j avec une procédure d’accès sécurisée et certifié ISO 27001



6.9 Fiche 9 – Conformité

Description Les établissements de crédit et les entreprises d’investissement sont soumis à une réglementation spécifique en matière de contrôle interne (règlement 97-02).

Pour ce qui concerne la sous-traitance, les exigences du règlement 97-02 portent principalement sur l’externalisation de « prestations de services ou d'autres tâches opérationnelles essentielles ou importantes », dont la banque demeure pleinement responsable. Parmi les obligations légales :

• Assurer la protection des informations confidentielles ayant trait à labanque et à ses clients ;

• Permettre à la banque, chaque fois que cela est nécessaire, l'accès, le caséchéant sur place, à toute information sur les services mis à sa disposition,dans le respect des réglementations relatives à la communicationd'informations (auditabilité) ;

• Accepter (de la part de la banque comme du prestataire) que l’Autorité decontrôle prudentiel ait accès aux informations sur les activités externaliséesnécessaires à l'exercice de sa mission, y compris sur place (auditabilité parle superviseur) ;

• Mettre en place une politique formalisée de contrôle des prestatairesexternes ;

Risques Risque de non-conformité au règlement 97-02 et de sanction par l’Autorité de contrôle prudentiel.

« Risque de non-conformité : risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d'atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu'elles soient de nature législatives ou réglementaires, ou qu'il s'agisse de normes professionnelles et déontologiques, ou d'instructions de l'organe exécutif prises notamment en application des orientations de l'organe délibérant. »

Les sanctions possibles :

« Les sanctions encourues par les assujettis sont l’avertissement, le blâme, l’interdiction d’effectuer certaines opérations pour une durée maximale de 10 ans, la suspension temporaire de dirigeants pour une durée maximale de 10 ans, la démission d’office de dirigeants, le retrait partiel ou total d’agrément ou d’autorisation, la radiation de la liste des personnes agréées. Soit à la place, soit en sus de ces sanctions, une sanction pécuniaire de 100 millions d’euros (1 million d’euros pour les changeurs manuels) peut être également prononcée. »


Pour une entreprise soumise à une réglementation du type de celle régissant les établissements de crédit, le degré d’externalisation possible dépendra de la nature de la prestation. S’il s’agit de prestations essentielles ou importantes, il faut pouvoir disposer d’un contrat négocié, intégrant les clauses nécessaires en matière de contrôle et d’auditabilité, et non d’un simple contrat d’adhésion standard.


• Outsourcing classique, cloud privé dédié,cloud privé mono-tenant, cloud privémutualisé :

o Dispositions contractuellesrelatives à l’auditabilité (parl’entreprise et le superviseur), aucontrôle et à la protection desinformations confidentielles ;

o Dispositif de suivi des indicateurset du respect des dispositionscontractuelles, dont réalisationdes audits puis suivi des plansd’action.

• Cloud public, BYO Mail box : s’il s’agitd’une PSEE, s’abstenir.


6.10 Fiche 10 – Résilience / Continuité

Description Assurer la continuité de l’activité et la disponibilité de son SI est un enjeu majeur pour une entreprise.

Risques - Interruption de service au-delà du délai d’interruption admissible- Perte de données avec une impossibilité de restaurer ou une durée de

restauration inadmissible- Impossibilité d’un retour « en arrière » suite à une erreur


- Souscription à deux offres de Cloud différentes pour le même stockage dedonnées

- Sauvegarde de donnéeso Souscription à l’offre de sauvegardes (si n’est pas inclus par défaut)

proposée par le fournisseur de service ou un autre fournisseur duCloud OU

o Sauvegarde de toutes les données stockées dans le Cloud par lesmoyens de l’entreprise cliente dans son SI

- Tests de restauration/reconstructiono Effectués par le fournisseur de service avec un l’engagement

contractuel de la part du fournisseur d’effectuer ces tests et detransmettre leur résultats aux clients du cloud

o Effectués par l’entreprise cliente dans son infrastructure ou dans uneinfrastructure mise à disposition par le fournisseur du Cloud



6.11 Fiche 11 – Gestion des Identités

Description S’agissant d’une solution externalisée, les moyens d’accès à la solution sont généralement intégrés à la solution (annuaire LDAP, AD…)

Risques Comme toute solution qui embarque sa gestion de droits, il est nécessaire de mettre en œuvre une gestion des identités afin de répercuter les départs ou changement de fonction des personnels utilisant la solution et d’éviter des comptes orphelins ou des accès non utiles.


• Généralement, des mécanismes de synchronisation existent entre l’annuaire d’entreprise et la gestion des droits de la solution. Il est ainsi possible d’alimenter selon une périodicité définie les accès au sein de lasolution.

• Attention, une saisie directe dans la solutionreste souvent possible, introduisant des incohérences et une fragilité avec un risque decomptes orphelins. Une revue est nécessaire pour s’assurer qu’il n’existe pasd’incohérences.

• La synchronisation doit être limitée aux seulesidentités qui utilisent la solution.

• Des mécanismes de SSO peuvent être mis enœuvre, limitant ainsi l’obligation de définir unauthentifiant de plus pour l’utilisateur.

• Certaines solutions peuvent mettre en œuvre une authentification à double facteur. Une attention toute particulière et une rigueur doivent être mise en œuvre dans la gestion du second facteur (numéro de portable, clé RSA…). Sa gestion est à prendre en compte dans le coût de la solution.

• La gestion des identités est manuelle et n’offre pas de mécanisme de synchronisation avec un annuaire d’entreprise, il faut alors effectuer périodiquement des revues de droits afin de s’assurer qu’il n’existe pas de d’incohérences entre l’annuaire d’entreprise et les droits gérés dans la solution.

• L’accès étant public, les risques d’intrusion dans le SI sont plus importants en usurpant une identité. Les règles de complexité des authentifiant sont communes et rarement trèscontraignantes. Les informations hébergées doivent tenir compte de ce risque.



6.12 Fiche 12 – Interaction avec les applications Métier

Description Il existe aujourd’hui encore un grand nombre d’applications qui interagissent avec la messagerie, bien que les bonnes pratiques recommandent le contraire.

Risques Le haut niveau de standardisation proposé par certaines solutions nécessite une adaptation des applications Métier, engendrant des coûts projet qui peuvent être très importants.


Les solutions de Cloud privé apportant davantage de flexibilité

Dans les solutions de Cloud public, il est nécessaire de prévoir les adaptations appropriées.


Divers à classer

- Il faut maîtriser/cartographier les dépendances du SI avec la messagerieo Cloud Public nécessite une adaptation des applications Métiero Cloud Privé permet de répondre à ce besoin


7 Conclusion

De manière générale, la banque dispose de deux types d’activités : celles liées aux métiers traditionnels de la banque ou relatives au secret bancaire et autres activités. Ces dernières peuvent également présenter un caractère critique (données RH, données anonymisées…).

L’externalisation des activités bancaires est strictement contrôlée, les exigences seront formulées concernant : le plan de reprise d’activité, l’audit réglementaire (par la banque ou par le régulateur), les indicateurs de sécurité et d’activité… etc. En revanche concernant les données non bancaires une analyse de risques préalable s’impose afin de déterminer les exigences spécifiques.

Les organismes de régulation et de contrôle, n’interdisent pas l’utilisation du cloud computing, mais en pratique, étant donné la criticité des données possédées et opérées par les banques, les exigences de sécurité peuvent être élevées au point de dénaturer le service. Ainsi au lieu et place d’un service cloud l’offre de service sera une offre d’externalisation dédiée classique.

Hormis les avantages intrinsèques à l’utilisation du cloud, les institutions bancaires requièrent des besoins spécifiques tels que la réversibilité qui permet d’exporter une masse de données pour les utiliser dans le cloud privé et public, ainsi que la traçabilité pour connaitre les personnes qui ont accès aux données.

Les révélations de Snowden, concernant la mise en cause de l’intégrité des données souveraines des États, ainsi que la vie privée des personnes partout dans le monde par le programme PRISM.

Ces divulgations remettent à jour, les inquiétudes émises par certains détracteurs du Patriot Act, quant à la confidentialité des données personnelles.

En France, l’affaire PRISM a favorisé l’émergence d’acteurs nationaux et européens, capables de garantir à leurs clients la localisation des données ainsi que le respect de la régulation concernant la gestion des données personnelles.

Par ailleurs, il faut prendre en compte les limites de l’utilisation du cloud bureautique, en l’occurrence le volume de stockage, les spécificités des transactions bancaires et l’archivage légal. Toutes ces contraintes représentent un challenge pour les éditeurs de solution de cloud bureautique, dans la mesure où ils doivent faire face aux problématiques d’intégration, comme c’était le cas des logiciels dans les années 90.

Néanmoins, les perspectives d’évolutions sont encourageantes, car les nouvelles offres de cloud bureautiques incluent des mesures de chiffrement et de tokenisation, ce qui favorise la sécurisation des données hébergées dans le cloud, contre une intrusion tierce, ainsi que le couplage de l’hébergement dans le cloud et le backup d’architecture de l’entreprise, ce qui permet de faire à une évolution industrielle. On note également, que la réussite des solutions de cloud bureautique, nécessitent le changement de la conception des responsables informatiques vis-à-vis des solutions d’hébergement dans le cloud, et qu’ils fassent plus confiance aux techniques de cryptologie.

Documents

Cloud Bureautique - Accueil · entreprises de normaliser leurs choix de fournisseur, en créant questionnaire ... Tandis que l’Iso 27002 n’est ... domaine de la sécurité sont