SÉCURITÉ - DISPONIBILITÉ - FLEXIBILITÉ

Le recours à des services hébergés est la bonne opportunité pour faire un point sur la sécurité de son Système d’Information.Dans tous les cas, les éléments relatifs à la sécurité et à la qualité de
service sont des éléments clés à considérer lors de l’externalisation
des services. Cela concerne à la fois la plateforme d’hébergement, la
sécurité intrinsèque des plateformes et services délivrés par rapport à
votre propre Système d’Information mais également la qualité des services
fournis en termes de conception, exploitation et évolution continue de
ces services.

Quelques points clés :

• Norme SAS 70 (Statement on Auditing Standards no.70)
• C’est une norme d'origine Américaine reconnue au niveau international, notamment comme élément de conformité à Sarbanes-Oxley. Cette norme concerne les entreprises qui font appel à des fournisseurs spécialisés pour externaliser leur service. En effet, les entreprises veulent contrôler la qualité du service offert (qui doit être tout aussi voire plus performant que celui réalisé en interne).
• Elle comporte deux niveaux (Type I et type II). Le premier porte sur la description des activités de la société et sur la pertinence des contrôles. Le deuxième niveau évalue leur efficacité à travers des tests dont les résultats sont publiés dans le rapport SAS 70 (type II).
• Un datacenter disposant d’une certification SAS 70-II est un gage de sécurité pour les infrastructures qu’il héberge.

• ISO/CEI 27002
• C’est un ensemble de 133 mesures dites « best practices », destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».
• Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

• ITIL v3 et ISO/CEI 20000
• ITIL (Information Technology Infrastructure Library ») est un référentiel recensant les bonnes pratiques pour le management du système d'information (édictées par l'Office public britannique du Commerce). Ce référentiel très large aborde les domaines tels que l’organisation d’un système d'information, l’amélioration de son efficacité, la réduction des risques pour le SI et les méthodes pour augmenter la qualité des services informatiques.
• Le référentiel de gestion de services informatiques rendus sur la base d'une infrastructure informatique et de télécommunications, en suivant les recommandations ITIL, est connu sous le nom d’ITSM (IT Service Management). L'ITSM est normalisé au niveau international dans la norme ISO/CEI 20000.

Ces deux derniers points constituent le cadre dans lequel nous concevons et nous déployons nos services Cloud.