N'hésitez pas à poser vos questions en commentaire ou à nous contacter pour plus d'informations !

Le Cloud occupe certainement une place de choix dans les discussions stratégiques de votre entreprise, et souvent à juste titre. Plus qu’un simple effet de mode, les prestations Cloud offrent de vrais avantages, tant d’un point de vue financier que d’un point de vue adaptabilité du système d’information ; en passant par les innombrables services créateurs de valeur et rapidement déployables. A cela s’ajoute le fait que toutes les tâches de maintenance, de sécurisation et de gestion des infrastructures sont sous la responsabilité du prestataire. Pratique, n’est-ce pas ? Néanmoins, là où le bât blesse est que toute externalisation s’accompagne de risques, et pas des moindres : souscription à des services non-adéquats, perte de la maîtrise des données, absence de contrôle sur le niveau de sécurité sont autant d’exemples de risques pouvant avoir des conséquences funestes sur l’activité de l’entreprise. Pour répondre à ce problème, l’EIOPA (European Insurance and Occupational Pensions Authority, AEAPP en français) a émis un ensemble de guidelines visant à mieux encadrer le recours à des prestataires de services Cloud pour les entreprises d’assurance et de réassurance. Que disent ces guidelines pour les assureurs et réassureurs ? Le document de référence, intitulé « Orientations relatives à la sous-traitance à des prestataires de services en nuage », a pour objectif d’organiser le recours aux prestataires Cloud et à mettre en place un cadre réglementé et permettant aux entreprises de mieux maîtriser les risques d’externalisation. Une première lecture du document permet de voir que le but de l’EIOPA est de limiter l’externalisation massive et sans étude préalable d’une fonction opérationnelle importante pour l’entreprise. L’approche adoptée est une approche par risques où chaque décision fait l’objet d’une évaluation des risques inhérents, selon l’importance de l’activité à sous-traiter. : 1) Evaluation de l’importance de l’activité à sous-traiter : La première question à se poser est de connaître la nature de l’activité à sous-traiter et son importance pour le fonctionnement et la pérennité de l’entreprise. Il est également important de bien identifier les référentiels légaux et règlementaires applicables à cette activité 2) Evaluation des risques d’externalisation dans le Cloud : Comme mentionné plus haut dans l’article, les orientations mettent grandement l’accent sur la bonne connaissance des risques liés à chaque activité à externaliser. L’entreprise devra donc, toujours en amont d’un accord, tenir compte des risques IT, juridiques, de non-conformité et de sécurité. Cette évaluation des risques devra également prendre en considération les aspects suivants : Les risques liés au modèle Cloud choisi (cloud public, privé, hybride, …) et le type de service (IaaS, PaaS, SaaS, …) ainsi que les contraintes d’implémentation et/ou migration La stabilité politique du pays de sous-traitance et notamment les lois et normes sur la sécurité, la protection des données et le droit applicable en cas de défaillance d’un prestataire Les éventuels risques inhérents à la sous-sous-traitance Les impacts d’une éventuelle concentration d’activités chez un même prestataire et donc de dépendance Cette étude préalable de tous les aspects d’une sous-traitance a pour but de mettre en exergue les points forts et faibles du prestataire et ainsi d’éclairer la décision de signer un accord, ou dans le cas où les mécanismes mis en place ne paraissent pas suffisants, d’exiger des dispositions supplémentaires, voire de ne pas mettre en place d’accord avec ce prestataire 3) Evaluation de l’adéquation du sous-traitant : L’entreprise devra déterminer si le sous-traitant présente suffisamment de garanties globales ou non, en particulier dans le cas d’une activité critique. Il s’agit là d’évaluer, par exemple, les compétences du sous-traitant, les certifications acquises attestant de sa conformité et de ses infrastructures ou encore sa santé économique. Cette démarche, appelée procédure de vigilance, devra être réalisée avant chaque accord avec un sous-traitant. Chaque entreprise devra mettre en place une procédure de vigilance déterminant les critères d’évaluation de l’adéquation d’un sous-traitant. Par ailleurs, l’activité de sous-traitance dans le Cloud sera désormais nécessairement encadrée par une politique adéquate faisant apparaître les rôles et responsabilités de chacun dans les processus, et définissant les outils et règles à prendre en considération ainsi que la documentation opérationnelle adossée à l’activité. Une fois l’accord de sous-traitance conclut, celui-ci devra être consigné dans un registre de sous-traitance que l’entreprise maintient régulièrement à jour, à la manière d’un registre de traitements. Celui-ci devra faire apparaitre les informations suivantes : La criticité de l’activité Le périmètre de la prestation Une synthèse de l’évaluation des risques la plus récente, et la date de cette évaluation La personne ou le service responsable de la prestation Les audits réalisés et à venir Les informations sur le sous-traitant Les coûts annuels estimés Une description de la stratégie de retrait, s’il y en a une D’un point de vue contractuel, le règlement précise les éléments à faire figurer sur l’accord, tout en mettant essentiellement l’accent sur les droits d’accès et d’auditabilité. Concrètement, cela signifie que l’entreprise peut accéder à toute documentation du sous-traitant jugée pertinente dans le cadre de l’accord. Il peut s’agir de derniers rapports d’audits, de certifications, de contrôles effectués sur le périmètre de la prestation, sans pour autant priver le client de la possibilité d’effectuer des audits individuels du prestataire. Bien évidemment, dans le cas où le droit d’accès ou d’auditabilité ne peut s’effectuer, à cause d’un risque trop élevé pour le sous-traitant ou son environnement, celui-ci peut transmettre les informations à l’entreprise sous forme de rapports exhaustifs. Il est à noter que le sous-traitant sera contractuellement tenu d’informer le client de tout cas de sous-sous-traitance et devra garantir un niveau de maîtrise des risques équivalent à celui exigé par le client. Concernant le volet Sécurité, les guidelines n’apportent pas de réelle nouveauté et se contentent de dire qu’il est nécessaire de définir les mesures appropriées à la criticité de l‘activité, le bon niveau de continuité d’activité et la supervision des mécanismes de contrôles mis en place, tout en mettant l’accent sur la nécessité de définir clairement les rôles et responsabilités entre l’entreprise et le sous-traitant. Les autorités de contrôles mobilisées Afin de vérifier la bonne application des guidelines, une autorité de contrôle nationale veillera à leur bonne application. En France, il s’agira de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). L’autorité de contrôle devra être notifiée de toute activité importante ou critique sous-traitée et pourra émettre un avis sur la solidité de l’accord conclu. En effet, l’autorité de contrôle sera en mesure d’exiger la mise en place de mesures en plus, dans le cas d’accords jugés non-conformes ou offrant peu de garanties pour l’entreprise voire d’exiger la sortie de pure et simple de l’accord. A cela s’ajoutent des campagnes de contrôles de l’ensemble des accords de sous-traitance souscrits par l’entreprise et qui, comme déjà mentionné, devront être consignés dans un registre de sous-traitance. Les informations à retenir Comme vous pouvez vous y attendre, la mise en place de ces orientations s’accompagne de deadlines. En effet, les guidelines seront applicables à partir du 1er Janvier 2021 à tous les accords de sous-traitance contractés ou modifiés à partir de cette date. Les entreprises devront également mettre en place ou à jour leur politique interne et procédures opérationnelles de sous-traitance Cloud avant cette date. En ce qui concerne les accords conclus avant le 1er Janvier 2021, ceux-ci devront faire l’objet d’une revue avant le 31 Décembre 2022. De même, les entreprises auront jusqu’à cette date pour mettre en place un registre de sous-traitance opérationnel. Ainsi, l’EIOPA entend, à travers ces orientations, redonner le contrôle aux entreprises d’assurance et de réassurance et les aider à mieux maîtriser les services Cloud auxquels ils souscrivent. Il est, tout de même, nécessaire de constater que le document ne précise pas des sanctions seront émises à l’encontre des entreprises ou sous-traitants ne le respectant pas, contrairement au RGPD dont les amendes ont certainement eu une incidence sur la mise en conformité des entreprises. Alors, est-ce que cela suffira à faire en sorte que les sous-traitants joueront-ils le jeu ? Les paris sont ouverts ! ZOUARI Mehdi

N'hésitez pas à poser vos questions en commentaire ou à nous contacter pour plus d'informations !

La Directive NIS, vous connaissez ?

Qu'est qu'une attaque DDOS ?

Introduction La grève des transports et maintenant le COVID-19 le prouvent : Aujourd’hui, il est impossible de se passer du télétravail pour assurer le fonctionnement en autonomie d’une entreprise. Si celui-ci rencontre encore des résistances au quotidien, le travail à distance devient le nouveau standard. Tous les postes de travail doivent pouvoir être loin de l’entreprise afin de ne pas dépendre de la présence physique des collaborateurs et maintenir l’activité quelle que soit la situation. Cependant, ouvrir un accès extérieur aux ressources de l’entreprise n’est pas sans danger. Dès le début de la réflexion sur le travail à distance, il est nécessaire d’intégrer des dispositifs et des protocoles de sécurités fiables en fonction des menaces. Les risques liés au télétravail Avec l’intensification du télétravail, les cyber-malfrats vont chercher à profiter de cette nouvelle pratique pour intensifier leurs attaques. En effet, nombreuses sont les sociétés qui ont commencé le télétravail pour l’épisode COVID-19 et ont plus misé sur le côté opérationnel que le côté sécurité. Voici les principales attaques identifiées : Phishing Le Phishing consiste à usurper l’identité d’une entreprise, d’une institution ou d’un organisme de confiance afin de voler des données sensibles et personnelles aux victimes. Il permet dans certains cas de compromettre le réseau informatique de l'entreprise visée. Il constitue une porte d'entrée pour les cyberattaques de type ransomware. Le Phishing s’effectue par le biais de pièces-jointes et de liens frauduleux dans des emails ou de fausses pages web. Ransomware Les Ransomwares sont des virus qui chiffrent ou empêchent l’accès aux données de l’entreprise et réclament généralement une rançon pour les rendre accessibles/lisibles. Certaines attaques de type Ransomware utilisent le chiffrement et la demande de rançon afin de détourner l’attention de l’entreprise et de voler des données sensibles. Les Ransomwares s’opèrent le plus souvent via les accès à distance (Remote Desktop Protocol par exemple). Le vol de données Le vol de donnée consiste à s’introduire sur le réseau d’une entreprise ou sur un service Cloud (type dropbox) et de voler les données qui y sont stockées. Le cyber-malfrat pourra ensuite faire du chantage ou vendre ses données. Le vol de données passe souvent par la compromission d’un poste de travail ou d’une intrusion sur le réseau. 🚨 Quelques chiffres sur les attaques durant l’épisode du COVID-19 : Les attaques par phishing sont passées de 137 en janvier 2020 à plus de 9116 sur les 23 premiers jours de Mars 2020. (Source Barracuda Networks & TrendMicro). 737 nouveaux malwares (dont des ransomwares) ont été détectés au Q1 2020. (Source TrendMicro). Plus de 80% des cybers-menaces utilisent des thèmes liés au COVID-19 (vente de masques, de gels etc…) Recommandations pour le travail à distance Sensibilisez les collaborateurs L’être humain est la porte d’entrée la plus prisée des Cyber-malfrats, il est donc très important de les sensibiliser ! En 2019, 69% des attaques se font via du phishing. Une simple communication à vos collaborateurs permettra de les sensibiliser et ainsi éviter à votre entreprise d’être piratée. Vous pouvez-vous inspirer de la communication faites par Actinuance sur le Phishing ici : https://www.actinuance.com/post/alerte-phishing Utilisez une solution VPN En télétravail les données qui circulent entre vos collaborateurs et le cloud ne sont pas toujours bien protégées ! Les solutions VPN vous permettent de chiffrer les données qui circulent et donc de les protéger. Sécurisez vos mots de passe Adopter l’utilisation d’un coffre-fort numérique tel que KeePass permettra à vos collaborateurs d’utiliser des mots de passe robuste (et en lien avec votre politique de mot de passe) mais également à forcer vos collaborateurs à l’utilisation du mot de passe unique. Une application = un mot de passe. Si l’utilisation d’un coffre-fort numérique a du mal à se faire accepter par vos collaborateurs, une communication sur la gestion des mots de passe serait intéressante. Vous pouvez-vous inspirer de la communication faites par Actinuance sur la gestion des mots de passe ici : https://www.actinuance.com/post/la-s%C3%A9curit%C3%A9-des-mots-de-passe Méfiez-vous des mails provenant d’expéditeurs inconnus Comme mentionné plus haut, il y a une forte hausse des attaques de type Phishing qui incitent les collaborateurs à cliquer sur les liens malveillants. N’oubliez pas de ne jamais communiquer vos informations personnelles (codes secrets, information bancaires etc…) à qui que ce soit. Sauvegardez vos données De manière régulière, n’oubliez pas de sauvegarder vos travaux sur les répertoires réseaux de votre entreprise, sur un cloud de l’entreprise ou sur une clef USB externe (si l’entreprise le permet !). Cela vous permettra en cas d’attaque de pouvoir vous remettre à travailler rapidement et ne subir aucune perte de données. AUDON Yoann