La conformité vous angoisse ? Ne dites pas trop vite « non » au nuage public

Stratégies Channel

Quatre conseils pour externaliser sereinement votre informatique dans un cloud public.

Par Lilac Schoenbeck, directrice Marketing Produit pour l’informatique en nuage chez BMC Software.

Le cloud computing (ou informatique en nuage) vous donne la liberté de choisir l’assortiment de services internes ou externes qui répond le mieux à vos exigences professionnelles. Dans le choix de confier ou non un service à un nuage public, la nécessité de conserver la conformité de ce service aux dispositions réglementaires est un facteur déterminant. Le premier réflexe est souvent de répondre « non » à l’externalisation d’un service soumis à une telle mesure de conformité. Cependant, cette approche limite vos possibilités dans la création de votre combinaison de services internes et externes. N’oubliez pas que les prestataires de services d’informatique en nuage public améliorent sans cesse leur sécurité et leurs capacités en matière de conformité, vous permettant ainsi d’offrir davantage de services en nuage public. Si vous maintenez vos options ouvertes, vous pourrez tirer profit des nouvelles possibilités du nuage public au fur et à mesure qu’elles se présenteront.

Comment, donc, confier vos services en nuage tout en veillant à ce que ces services soient toujours conformes aux réglementations ? La solution réside dans l’utilisation d’une stratégie fondée sur le Business Service Management (BSM), une approche globale et une plate-forme unifiée pour l’exploitation des services IT. Vous pouvez tirer profit des processus et des solutions BSM que vous utilisez pour gérer votre infrastructure interne en les étendant à l’environnement du nuage public. Les conseils qui suivent vous indiquent comment y parvenir.

CONSEIL n° 1 : Catégoriser les services

Vous pouvez choisir parmi toute une variété de services d’informatique en nuage public. Ceux-ci comprennent le « Software as a Service » (SaaS ou logiciel en tant que service), la « Platform as a Service » (PaaS ou plate-forme en tant que service), et « l’Infrastructure as a Service » (IaaS ou infrastructure en tant que service). Ils permettent notamment d’inclure des services d’entreprise personnalisés que vous pouvez intégrer à vos systèmes internes afin de prendre en charge des processus d’entreprise complexes. Par exemple, vous pouvez intégrer un service externe de traitement de carte de crédit à votre système d’entrée des commandes ou intégrer un moteur de recherche externe à votre site Internet géré en interne.

Commencez en divisant les services que vous avez choisi de confier au nuage public en trois grandes catégories, selon leurs exigences en matière de contrôle et de gestion. La première catégorie comprend les services qui ne sont pas soumis à des exigences de qualité ou de conformité aux dispositions réglementaires. Vous pouvez confier ces services au nuage public sans faire courir de risque, ou très peu, à la société. Par exemple, vous pouvez tirer profit des offres PaaS afin d’obtenir des plates-formes de traitement pour vos développeurs. Vous pouvez consommer ces services rapidement et sur la base d’un paiement à l’acte, évitant ainsi des dépenses d’investissement.

La deuxième catégorie comprend les services soumis à des exigences de qualité indiquées dans les accords de niveau de service (service level agreements ou SLA). Ces services doivent faire l’objet d’un contrôle et d’une gestion afin de veiller à ce qu’ils remplissent ces exigences. Par exemple, si vous confiez vos processus de centre de services, vous devez tout de même veiller à ce qu’ils remplissent les exigences de disponibilité et de performance indiqués dans les SLA.

Habituellement, vos capacités de contrôle et de gestion des ressources en nuage public sont moindres que pour les ressources en nuage privé. Leur augmentation ou leur réduction relève normalement du prestataire de service et non du consommateur du service. Cependant, vous pouvez utiliser des solutions BSM pour contrôler ou gérer de manière proactive la disponibilité et la performance des services confiés au nuage public. Et vous pouvez le faire de façon unifiée, avec les mêmes outils que vous utilisez pour gérer vos services internes.

La troisième catégorie comprend les services exigeant une conformité aux dispositions réglementaires. Votre première réaction sera peut-être de dire « non » à l’externalisation de tout service soumis à des exigences de conformité aux dispositions réglementaires par peur de courir un risque de non-conformité. Or, comme nous le mentionnions précédemment, cette approche limite vos possibilités dans la création d’une combinaison optimale de services internes et externes. Pour confier des services soumis à des exigences de conformité, tout en réduisant au minimum le risque de non-conformité, suivez les conseils énoncés dans cet article.

Même si vous choisissez, pour le moment, de conserver en interne les services soumis à des exigences de conformité, gardez à l’esprit que l’informatique en nuage évolue, et que les prestataires de services améliorent constamment leur capacité d’assurer et de démontrer la conformité aux dispositions réglementaires. Maintenez donc vos options ouvertes, de manière à pouvoir confier ultérieurement vos services internes à des prestataires externes.

A suivre page 2

 

CONSEIL n° 2 : Développer, documenter et appliquer les politiques internes de conformité

Examinez toutes les réglementations qui concernent les services IT de votre secteur, puis créez et documentez vos politiques de conformité pour la gestion de tous vos services internes, aussi bien en nuage que hors nuage. Certaines de ces réglementations émanent des pouvoirs publics comme la loi sur la transférabilité des régimes d’assurance-santé et l’imputabilité (HIPAA – Health Insurance Portability and Accountability Act), la loi Sarbanes-Oxley de 2002 et les accords de Bâle. D’autres sont des normes industrielles comme les Normes de sécurité des données du secteur des cartes de paiement (PCI DSS – Payment Card Industry Data Security Standard).

Ces réglementations précisent différents critères que les organisations IT doivent respecter. Elles prévoient également des mécanismes de protection. La loi HIPAA, par exemple, couvre trois types de protection : administrative, physique et technique.
•    Les protections administratives traitent de domaines tels que la responsabilité attribuée en matière de sécurité, la gestion de l’accès aux informations et les procédures d’incident de sécurité.
•    Les protections physiques comprennent les contrôles des accès aux installations et la sécurité des postes de travail.
•    Les protections techniques comprennent les audits et l’authentification des personnes ou des entités.

La réglementation peut aussi contenir des spécifications de mise en œuvre. Une règle de sécurité HIPAA, par exemple, indique 18 normes de protection administrative, physique et technique, plus 36 spécifications de mise en œuvre visant à préserver la confidentialité, l’intégrité et la disponibilité des informations protégées en matière de santé.

Établissez des politiques qui transposent les réglementations et les normes concernées dans des processus et des procédures auxquels l’organisation IT doit adhérer, puis diffusez ces politiques et ces procédures à l’intérieur de l’organisation IT. À ce stade, une solution de gestion des contrôles IT peut vous aider à rédiger, à publier, à gérer et à appliquer ces politiques.
Si votre organisation ressemble à la plupart des organisations IT, votre infrastructure IT interne es
t sans doute hétérogène du fait que vous vous déplacez de plus en plus de votre environnement actuel à l’environnement en nuage. Elle comprend peut-être des systèmes physiques dédiés, des systèmes virtualisés et des systèmes de nuage privé. La technologie que vous déployez doit vous permettre de gérer la totalité de l’infrastructure de façon homogène s’agissant de la conformité.

Là encore, le BSM peut vous aider. Par exemple, des solutions d’accès aux données vous aident à gérer l’identité et l’autorisation d’entités ou de personnes qui accèdent aux données couvertes par le dispositif des politiques. Un autre exemple est celui des solutions de gestion du changement qui assurent que toutes les modifications apportées à l’infrastructure IT sont faites en conformité avec les politiques.

CONSEIL n° 3 : Étendre les politiques internes de conformité aux prestataires de services d’informatique en nuage public

La plupart des prestataires de services d’informatique en nuage public publient leurs capacités en matière de conformité, de manière à ce que les clients puissent en prendre connaissance. Par exemple, certains font connaître leur conformité avec la certification SAS 70 (Statement on Auditing Standards No. 70), qui définit les normes qu’un auditeur doit employer pour évaluer les contrôles internes d’un prestataire de service externe, tel qu’un centre de données hébergé, un centre de traitement des demandes d’indemnité ou une société de traitement du crédit. Les prestataires externes de services de carte de crédit publient habituellement leur conformité à la norme PCI DSS.

Cependant, c’est à vous, le client, qu’il appartient d’évaluer les offres des prestataires de services d’informatique en nuage par rapport à vos politiques. Si vous ne pouvez pas surveiller, gérer et contrôler directement tous les aspects des protections administratives, physiques et techniques du prestataire, vous pouvez transposer vos politiques internes de conformité dans une forme appropriée à l’intention des prestataires externes, et publier ces politiques transformées. Vous pouvez tirer profit des solutions BSM que vous avez utilisées pour créer et gérer vos politiques internes, afin de transformer, de publier et de gérer les politiques du prestataire.

Cette transformation peut représenter un effort important et comporter des processus manuels. Certaines entreprises ont suivi la voie du partenariat avec leurs prestataires de services, en les encourageant à dresser une liste de contrôle concernant la conformité. Même si cet effort est parfois non négligeable, certains prestataires de services soucieux de soutenir le marché orienté vers la conformité travaillent en collaboration avec les clients.
En outre, vous pouvez demander que les prestataires externes démontrent leur conformité avec les politiques que vous avez publiées. Cette approche vous permet de transmettre aux prestataires de service externes la rigueur que vous avez apportée à vos processus internes de conformité et d’attestation.

A suivre page 3

 

CONSEIL N°4 : Offrir une gestion efficace des prestataires

En plus de contrôler et de gérer les services que vous confiez au nuage public, veillez à contrôler et à gérer vos prestataires de services d’informatique en nuage public avec la détermination dont vous faites preuve s’agissant des autres fournisseurs.

Tout d’abord, évaluez et sélectionnez les prestataires de grande valeur en examinant les bonnes pratiques de ces derniers et en mettant en œuvre les processus d’approbation. Après avoir sélectionné les prestataires, évaluez leurs performances par rapport à leurs engagements. Par exemple, vous pouvez créer pour chaque prestataire une fiche de résultats en matière de risque, qui permettra de vérifier son respect de vos politiques de conformité. Enfin, vous devez constamment optimiser et consolider votre portefeuille de prestataires en utilisant un programme systématique (fondé sur des faits) de gestion des prestataires stratégiques, reposant sur une analyse du portefeuille et sur l’établissement de rapports y afférents.

Des solutions de gestion des prestataires vous permettent de gérer tout le cycle de vie de ces mêmes prestataires — allant de leur évaluation à la cessation de la relation d’affaires. Ces solutions centralisent les informations sur les prestataires et vous aident à faire appliquer les processus critiques, à assurer le suivi des finances et à détecter et évaluer les performances par rapport aux engagements.

Ne dites pas « non » au nuage public

Le nuage public offre toute une variété des services que vous pouvez associer à des services internes pour répondre aux besoins de votre entreprise. Plutôt que de simplement dire « non » aux services d’informatique en nuage public soumis à un contrôle réglementaire, suivez les conseils énoncés dans ce document. Vous bénéficierez d’une plus grande souplesse pour créer votre combinaison de services internes et externes, optimisant ainsi la valeur de votre organisation. Pour de plus amples informations sur l’informatique en nuage et les solutions logicielles de BMC, visitez www.bmc.com/cloud.

A propos de l’auteur
Lilac Schoenbeck est directrice Marketing Produit pour l’informatique en nuage chez BMC Software. Mme Schoenbeck possède plus de 12 ans d’expérience en marketing produit, stratégie, développement d’entreprise et génie logiciel dans les domaines tels que le réseau, la virtualisation et le Cloud. Elle a travaillé pour IBM, Fortisphere, Innosight et Globus Alliance, et est titulaire d’un MBA de la MIT Sloan School of Management, ainsi que d’un diplôme en sciences informatiques de la Pacific Lutheran University.