Les 7 questions les plus importantes à poser à un fournisseur de cloud

Le cloud devient rapidement le moyen standard de gérer les opérations informatiques pour de nombreuses entreprises. Beaucoup d’organisations s’appuient désormais tellement sur les services informatiques sur le cloud qu’elles ne pourraient absolument pas fonctionner sans eux.

C’est pourquoi le choix du bon prestataire n’est pas une tâche à prendre à la légère. Savoir comment le prestataire conserve et traite les données confidentielles de l’entreprise doit notamment être une grande priorité, surtout au vu de la nouvelle réglementation telle que le RGPD européen, qui met la barre très haut quant à la gestion des données personnelles.

Les entreprises doivent poser plusieurs questions clé concernant la gestion et la sécurité des données quand elles évaluent un fournisseur de cloud potentiel. Il y en a sept pour lesquelles les organisations doivent impérativement posséder une réponse.

1. Quel degré de contrôle aurai-je sur mes données ?

L’une des grandes préoccupations de nombreuses sociétés quand elles envisagent d'utiliser le cloud est de savoir exactement qui contrôle leurs données une fois qu’elles échappent à leur surveillance directe. Les entreprises doivent demander à leur prestataire de leur expliquer quelles sont les options disponibles pour définir et appliquer les règles à tous les stades du cycle de vie des données, de leur création à leur destruction.

2. Qui aura accès à mes données ?

Les politiques de contrôle d'accès sont un autre point indispensable à définir avant de signer un contrat avec un fournisseur de cloud. Ces politiques doivent indiquer quelles protections sont en place pour limiter l'accès aux données, quelles seront les politiques exactes que les équipes IT pourront mettre en œuvre et quelles mesures seront prises pour détecter et bloquer les accès non autorisés.

3. Comment surveillez-vous et documentez-vous les activités sur mon compte ?

Dans le prolongement des politiques de contrôle d'accès, les fournisseurs de cloud doivent aussi pouvoir expliquer comment ils surveillent ce qui se passe sur le compte d’un utilisateur, y compris l'identité des utilisateurs qui accèdent à chaque fichier et quand cet accès se produit, qui modifie les paramètres ou les autorisations et la facilité avec laquelle on pourra avertir les administrateurs et revenir aux versions antérieures en cas d'activité suspecte.

4. Quelles sont les modalités spécifiques du cryptage de mes données ?

Il est également essentiel de comprendre les normes de cryptage appliquées par les fournisseurs de cloud aux données de votre entreprise si vous voulez être certain qu’elles sont correctement protégées. Vous devez demander quelles sont les normes utilisées - évitez tout cryptage inférieur à la norme de cryptage avancée (AES) 256 bits - et les modalités de la gestion des clés de cryptage.

5. Comment garantissez-vous la séparation de mes données par rapport aux autres utilisateurs ?

Comme les fournisseurs de cloud publics hébergent vos données dans de vastes centres de données où les données de nombreux utilisateurs sont conservées sur les mêmes serveurs, quelles mesures le fournisseur prendra-t-il pour s'assurer que les données qui vous appartiennent sont efficacement isolées de celles des autres clients ? Assurez-vous que le fournisseur peut vous fournir une description détaillée de ses outils de virtualisation garantissant que personne d’autre ne pourra accéder à vos données.

6. Que se passe-t-il si vous perdez mes données ?

Il est également impératif de savoir quelles mesures un fournisseur de cloud a mis en place en cas de perte, effacement ou corruption de données. Les entreprises doivent notamment savoir quel niveau de durabilité des données le fournisseur peut garantir, et le nombre de copies de sauvegarde il conserve en cas d'incident de perte de données.

7. Quelles mesures sont en place pour gérer la migration des données ?

Un facteur souvent oublié quand on évalue les fournisseurs de cloud est de savoir ce qui se passe quand votre relation se termine. À ce stade, le fournisseur détiendra des volumes énormes de données cruciales de l’entreprise. Il est donc impératif de pouvoir les extraire facilement pour les transférer vers un autre fournisseur. Les données seront-elles transférées sous un format facilement accessible ? Comment cette tâche pourra-t-elle être réalisée rapidement et avec un minimum de perturbations ? Quelles garanties peut donner le fournisseur que toutes les données seront supprimées de ses serveurs ?