L’infonuagique en un clic | KPMG | CA
close
Share with your friends
Illustrated dot circle

L’infonuagique en un clic

L’infonuagique en un clic

L'ère des données numériques est pleine de promesses. Pourtant, la question de la protection des données et de la vie privée des clients suscite des préoccupations grandissantes et, peu à peu, les entreprises prennent conscience que la sélection et l'exploitation des solutions de collaboration en nuage ne se font pas en un simple clic.

Il ne fait aucun doute : le besoin de gouvernance infonuagique se fait plus pressant. Englouties sous l'avalanche de solutions en ligne, les entreprises se voient mises au défi d'intégrer ces innovations tout en atténuant les risques importants qu'elles comportent. Pour y arriver, elles doivent concevoir des politiques et des contrôles qui régissent leurs propres structures, exigences, effectifs et les risques particuliers auxquelles elles sont exposées.

Il n'existe pas d'approche universelle à la gouvernance infonuagique. Cela dit, il peut être utile de voir comment les autres font face à ce défi de taille.

Une foule d'options

Les solutions infonuagiques peuvent être classées en trois catégories distinctes. Chacune d'entre elles a ses particularités en ce qui a trait à l'utilisation prévue, aux utilisateurs et aux risques potentiels.

Catégories

  • Catégorie 1 – Solutions pour entreprises (ex. SalesForce, MS Azure, Office 365). Il importe de tenir compte de la taille et de la réputation des fournisseurs de solutions de catégorie 1, en particulier en ce qui concerne la sécurité des données. 
  • Catégorie 2 – Solutions pour particuliers (ex. Google Disque, DropBox, Prezi). Il s'agit de solutions grand public, facilement accessibles en ligne, ce qui en fait des options pratiques pour le partage de données, mais risquées, lorsqu'utilisées de façon irresponsable ou sans contrôle adéquat. De ce fait, un certain nombre d'entreprises ont carrément interdit à leurs employés d'avoir recours à des services infonuagiques de catégorie 2.
  • Catégorie 3 – Solutions pour entreprises en démarrage. Ces services sont conçus pour des fonctions sectorielles ou opérationnelles précises et sont sélectionnés au cas par cas (p. ex., en comptabilité).

Il faut s'en remettre à l'expérience pour déterminer les contrôles applicables à chacune des catégories. En effet, voici ce qu'a affirmé le cadre d'un important de fonds de pension : « Nous n'avons pas formellement défini de catégories, mais nous intégrons des services infonuagiques et laissons notre expérience guider notre réflexion sur l'adoption d'une approche de classification par catégories. »

Approvisionnement

Le nombre d'options de stockage et de partage de données en ligne a explosé ces dernières années. Google, OneDrive, Dropbox, etc. : le Web regorge de nouvelles solutions révolutionnaires. Il peut donc être difficile de trouver un service adéquat.

Il existe des différences fondamentales entre les services infonuagiques sur le plan de l'utilisation prévue, de l'accessibilité et de la propriété des données. Par exemple, certains fournisseurs de solutions offrent le chiffrement et la sécurité des données à titre de services payants, tandis que d'autres laissent à l'utilisateur la responsabilité de la protection des données. D'autres encore offrent leurs ressources gratuitement en échange du droit d'utiliser tout matériel téléchargé à des fins de marketing, sans la permission du propriétaire initial.

Il n'est pas facile de s'y retrouver dans ces différents produits, sans compter que, en matière d'approvisionnement, les stratégies organisationnelles diffèrent. Par exemple, certains clients confient l'ensemble du processus d'approvisionnement à leur service des TI, tandis que d'autres répartissent la tâche entre divers services sous la supervision de professionnels des TI.

Comme l'explique le directeur d'une société de gestion de placements détenue par ses employés, la taille de l'organisation entre en ligne de compte : « Dans une petite entreprise, c'est plus facile, mais les gens des TI, de l'exploitation et des services juridiques doivent participer au choix d'une solution adéquate, rester vigilants face aux risques liés aux technologies de l'information et toujours veiller à protéger les données précieuses. »

Même si c'est le conseil d'administration qui prend la décision, les personnes interviewées s'entendent pour dire que le service des TI doit intervenir dans l'approvisionnement de solutions infonuagiques. L'influence du service sur la décision finale – ou encore sa prise en charge complète du processus – dépend du pouvoir que les chefs d'entreprise sont prêts à accorder.

Établissement de politique

Pour tirer le meilleur parti des services infonuagiques et veiller à ce qu'ils soient utilisés de façon sécuritaire et responsable, il faut mettre en place des politiques et des procédures. Ces politiques doivent déterminer qui peut utiliser les services, comment et quand ils peuvent les utiliser, et quel type de données est autorisé.

Il existe des normes pour faciliter l'élaboration d'une politique de gouvernance informatique. À titre d'exemple, de nombreuses organisations ont recours à l'architecture d'entreprise, une approche d'analyse, de conception, de planification et de mise en œuvre reconnue dans le secteur.

Le gestionnaire d'une importante caisse de retraite donne sa propre approche en exemple : « Notre organisation a mis en place des normes de gouvernance architecturale afin d'établir les directives d'utilisation appropriée des services infonuagiques. À l'heure actuelle, ces normes sont la responsabilité de l'équipe d'architecture d'entreprise, mais elles sont maintenues et appliquées par un organisme de gouvernance architecturale interfonctionnelle. [...] Nous avons également un processus formel de contrôle diligent de la sécurité de l'information pour les services en nuage que nous utilisons à des fins de stockage ou de traitement des renseignements. S'il s'agit de renseignements personnels, nous procédons à un examen supplémentaire des contrôles relatifs à la protection de la vie privée. »

Les responsables des politiques de gouvernance infonuagique varient eux aussi selon l'entreprise. Là encore, certaines organisations confient aux TI la responsabilité d'établir les politiques et les procédures entourant l'utilisation de ces solutions, tandis que d'autres délèguent la tâche aux chefs de service, tout en chargeant le personnel des TI de la gestion et de la mise à jour des politiques ainsi que des activités de certification.

L'autre option est de s'en remettre à une tierce partie. C'est ce qu'a fait une société de placement de premier plan : « Nous avons fait appel à un fournisseur externe pour mettre en place l'infrastructure infonuagique et à une entreprise de cybersécurité pour superviser la sécurité de la structure. »

Mise en place de contrôles

En matière de services infonuagiques, certains contrôles sont utilisés couramment, comme le blocage des URL, la surveillance technique et manuelle continue, le balayage mensuel pour détecter des services inconnus et les systèmes de blocage ou d'alerte pour les documents de nature très sensible.

Bien entendu, il faut d'abord mettre en œuvre ces contrôles. Ensuite, on doit s'assurer de l'efficacité des processus et des contrôles du fournisseur de solutions infonuagiques. Pour ce faire, il n'est pas rare que le service d'approvisionnement procède à un contrôle diligent initial. Ce contrôle diligent comporte habituellement une évaluation des engagements liés aux accords sur les niveaux de service (ANS), des rapports sur les contrôles d'organismes de services (SOC 2) ou les certifications ISO dans le cadre du processus de sélection et d'approvisionnement. Des méthodes similaires fondées sur le risque sont également appliquées pendant la mission et au terme d'un service.

Un gestionnaire de la même société de placement, faisant référence à sa propre approche, a souligné ceci : « Avant de choisir des entreprises, nous avons analysé le secteur afin de trouver les fournisseurs de services qui répondaient le mieux à nos besoins. [...] Ensuite, nous avons conclu des ententes avec un fournisseur d'infrastructure ainsi qu'avec des conseillers en cybersécurité énonçant les rôles et les responsabilités de chacun. »

Culture de sécurité des données

On ne peut pas faire abstraction du facteur humain dans la gouvernance infonuagique. Les politiques et les procédures ne servent à rien si on ne dispose pas d'un personnel qui comprend les risques liés au partage de données en ligne et qui respecte les règles établies.

Par conséquent, les organisations ont avantage à investir dans la formation sur les normes de gouvernance infonuagique et la politique d'entreprise sur la classification des données.

À ce sujet, un cadre d'une importante caisse de retraite ajoute : « Le programme de sécurité de l'information de notre organisation prévoit des ateliers de sensibilisation. De plus, notre politique en matière de sécurité de l'information et notre code de conduite énoncent clairement les comportements attendus de la part des utilisateurs. »

Attentes élevées

Les solutions infonuagiques existent depuis un certain temps déjà. Cependant, ces dernières années, la vague de cyberattaques et d'atteintes à la sécurité des données a réitéré le besoin de renforcer la gouvernance infonuagique. Les entreprises pourront ainsi gérer les risques qu'elles sont prêtes à assumer et trouver un moyen terme entre la nécessité de contrôler les solutions infonuagiques et celle de suivre le rythme de l'innovation.

Pullout: Gestion des risques

Toute technologie de rupture exige une solide approche de gestion des risques. Voici quelques éléments à considérer lors de l'intégration d'un service infonuagique :

  • Front commun : pour ne pas perdre de vue les risques stratégiques, il faut l'adhésion de toutes les parties prenantes, c'est-à-dire le conseil d'administration, la direction et le personnel des services frontaux et administratifs.
  • Vigilance : gardez constamment un œil sur les conditions et les fluctuations du marché, les nouveaux règlements et les changements dans vos activités et celles de vos clients.
  • Agilité : sensibilisez le personnel aux risques stratégiques et soyez prêt à réagir aux changements et aux urgences.
  • Collaboration avec des experts : faire appel à un expert ou à un tiers peut vous aider à cerner les risques potentiels, à évaluer votre situation actuelle et à établir une feuille de route pour l'intégration des services infonuagiques.

Source : Strategic risks: Learning from blockchain and other potential disruptors, KPMG 2018