Votre contrat de fournisseur de services cloud inclut-il ces exigences de sécurité cruciales?

Votre contrat de fournisseur de services cloud inclut-il ces exigences de sécurité cruciales?

L’adoption du cloud computing est à la hausse: selon les «Neuf moyens de maximiser la valeur des contrats cloud» d’IDC (International Data Corporation), 52% des entreprises utilisent actuellement des modèles de diffusion basés sur le cloud et 27% ont des projets fermes de mettre en œuvre des solutions de cloud computing dans les 12 prochains mois. Cependant, malgré l’intérêt de passer au cloud, les entreprises ont toujours du mal à négocier les contrats de services en cloud. Le manque de transparence et la définition officielle des responsabilités en matière de sécurité émanant des fournisseurs d’informatique en nuage contribuent à l’anxiété des clients.

L’un des principaux défis pour les clients du cloud computing consiste à s’assurer que les contrats incluent des dispositions relatives à un niveau de sécurité approprié. L’utilisation accrue des services en cloud crée un besoin accru de contrats de fournisseur en cloud pour inclure les exigences de sécurité de base. Toute omission dans les termes du contrat de fournisseur de cloud lié à la sécurité peut exposer votre entreprise à des risques évitables.

Comme le notait Forrester dans son rapport «Stratégies de négociation de contrat Smart Cloud», les principaux fournisseurs de cloud offrent généralement une sécurité supérieure à celle qu’un client peut obtenir par lui-même, mais pas toujours. Des normes telles que SOC 2 et ISO20018 sont courantes, mais pas partout. Par conséquent, vous devez mettre en œuvre des protections contractuelles suffisantes.

Liste de contrôle des contrats en cloud : Que devrait couvrir votre contrat de vente?

Les contrats des fournisseurs de cloud ne peuvent pas protéger totalement contre les risques pour la confidentialité, l’intégrité et la disponibilité des données de votre entreprise, mais ils peuvent offrir une couche de protection supplémentaire dans le cloud. Toutes les exigences en matière de sécurité du cloud possèdent un certain niveau d’importance en fonction du risque et la plupart d’entre elles ont une applicabilité indépendamment du fournisseur ou du service du cloud.

Bien que les contrats de fournisseur de cloud puissent être complexes, votre entreprise doit prendre en compte certaines exigences de sécurité pratiques. Que devrait inclure un accord de cloud? Utilisez cette liste de contrôle de contrat cloud pour vous assurer que vous avez couvert tous les éléments de sécurité nécessaires dans votre contrat de vente.

Audits et évaluations

  • Exiger le droit d’auditer et d’évaluer dans le cadre du contrat de fournisseur de cloud ou, au minimum, de demander des rapports d’audit et d’évaluation de sécurité conduits par des tiers réputés.
  • Contractuellement, le fournisseur de services cloud doit fournir des rapports réguliers sur l’état et la posture de leur sécurité, tels que les rapports de journal des systèmes de détection / prévention des intrusions (IDS / IPS).

Disponibilité

  • Clarifiez ce que le fournisseur de cloud définit comme temps d’arrêt et assurez-vous qu’il est planifié dans le temps, qu’il est conforme aux exigences de disponibilité de votre entreprise et qu’il n’est pas en conflit avec vos heures d’ouverture.
  • Confirmez quels types de surveillance et d’alertes de service sont disponibles et incluez la possibilité de résilier l’intégralité du contrat sans engager sa responsabilité si le temps de disponibilité échoue sur une période donnée (par exemple, si le temps de disponibilité diminue de X montant sur X nombre de jours de fonctionnement).
  • Incluez un langage qui confirme le plan de continuité des opérations du fournisseur de cloud computing, en spécifiant que les exigences de redondance doivent contenir, au minimum, les méthodes / infrastructures / processus de sauvegarde et de récupération des données.
  • Demandez au fournisseur de services cloud de certifier qu’il participera avec votre entreprise à des tests de reprise sur sinistre à des intervalles de temps spécifiques, par exemple une fois tous les deux ans, sans frais.

Les exigences de conformité

  • Répondez aux diverses exigences de sécurité nécessaires pour respecter les lois applicables (par exemple, SOX, HIPAA) et les normes de sécurité (par exemple, la norme PCI DSS, ISO 27002) lors du traitement, du stockage, de la transmission ou de la conservation de données confidentielles de l’entreprise.
  • Limitez le déplacement des actifs de l’entreprise aux zones connues pour respecter les réglementations, normes et exigences de sécurité applicables.

Accès aux données

  • Spécifiez les stratégies, procédures et normes d’accès aux données, y compris les normes techniques de cryptage et de transmission, les contrôles d’accès sur les sites des fournisseurs dans le nuage et les protocoles de contrôle d’arrière-plan et / ou de sécurité pour les ressources des fournisseurs dans le cloud accédant à des données confidentielles de l’entreprise.
  • Confirmez la manière dont l’accès aux données sera limité, en passant en revue les différents rôles d’autorisations d’utilisateur offerts, les différents paramètres d’accessibilité pour chaque rôle et les droits d’accès de l’administrateur (c’est-à-dire, assurez-vous que toutes les actions des utilisateurs peuvent être suivies).
  • Interdisez au fournisseur de cloud de partager des données d’entreprise confidentielles avec toute personne autre que des tiers approuvés, tenus de fournir des services, et demandez au vendeur d’informer et de sécuriser l’approbation de votre société.
  • Assurez-vous que votre entreprise peut accéder à ses données à tout moment, à la demande, idéalement en libre-service, au format spécifié et gratuitement, afin d’inclure les pièces jointes, les métadonnées et les images.
  • Supprimez toutes les clauses de gatekeeper concurrentielles afin d’empêcher les autres utilisateurs de fournisseurs de cloud (considérés comme des concurrents par le vendeur de cloud) d’utiliser les actifs de la société.

Violation ou perte de données

  • Demandez au fournisseur de cloud d’informer votre société immédiatement si une violation de données potentielle ou réelle s’est produite.
  • Indiquez le libellé indiquant qui supporte le risque de perte de données en transit ou en stockage.
  • Fournir un soutien approprié et opportun pour les enquêtes et analyses médico-légales en informatique dans le cadre du contrat.

E-découverte

  • Assurez-vous que le fournisseur d’informatique en cloud est en mesure de répondre aux demandes papier et de découverte électronique, aux divulgations obligatoires et aux obligations et de s’y conformer.

Couverture d’assurance

  • Confirmez que le fournisseur de cloud dispose et maintient une assurance qui couvre sa capacité à s’acquitter de son obligation d’inclure une assurance cybersécurité pour toute violation potentielle des données.

Propriété intellectuelle

  • Déterminez à qui appartiennent les nouveaux développements, modifications, améliorations ou produits de travail liés à la propriété intellectuelle de votre entreprise, notamment les méthodologies, les technologies, les logiciels et la documentation.
  • Validez que votre entreprise a le droit d’utiliser la propriété intellectuelle (IP) ou la propriété intellectuelle du fournisseur du cloud concédée sous licence par le fournisseur du cloud auprès d’un tiers pendant et après la résiliation.
  • Déterminez quels sont les droits de votre société pour obliger le fournisseur de services cloud à transférer des connaissances (par exemple, formation, conceptions de configuration) à votre société ou à son mandataire pendant la durée du contrat et lors de la résiliation.
  • Déterminez quels sont les droits de votre entreprise de demander des copies de tous les produits de travail et de demander un inventaire.

Exigences légales transfrontalières

  • Tenez compte des réglementations en vigueur dans d’autres pays lors du stockage ou de la transmission de données d’entreprise dans l’infrastructure du fournisseur de cloud pour éviter toute violation.
  • Validez si les entités gouvernementales du pays d’hébergement du fournisseur de cloud exigent un accès aux données de l’entreprise, avec ou sans notification appropriée.
  • Assurez-vous que les données de votre entreprise ne migrent pas au-delà d’une résidence ou d’un lieu géographique défini.

Tenue de litige

  • Assurez-vous que le fournisseur d’informatique en cloud est en mesure d’identifier, de séparer et de préserver les données pertinentes pour les litiges, réclamations, enquêtes ou autres procédures judiciaires en cours, menacés ou raisonnablement prévisibles.
  • Assurez-vous que le fournisseur de services cloud peut prendre en charge les litiges concernant un client spécifique sans geler les données de votre entreprise, ou inversement.

Rôles et responsabilités

  • Définissez clairement les rôles et les attentes des parties et répartissez entre elles les nombreuses responsabilités attribuées à la protection des données de votre entreprise.
  • Incluez un langage indiquant qui est le propriétaire des données pendant son cycle de vie, y compris lors du transfert ou de l’échange de données (données en transit) et pendant le stockage (données inactives).

Code source

  • Escrow code source avec un agent d’entiercement approuvé et incluez les conditions de libération de l’entiercement pour réduire l’exposition au risque et régir l’utilisation du code source d’un fournisseur de cloud si celui-ci cesse ses activités. Limitez-le à la faillite, à la cession des activités ou à la prise en charge du produit, de la gamme de services et de toute autre condition étroite appropriée.
  • Distribuez les logiciels uniquement sous forme de code objet. Si la distribution du code objet n’est pas possible, envisagez d’utiliser un obfuscateur de code source. En d’autres termes, brouillez les symboles, le code et les données d’un logiciel, ce qui rend impossible le reverse engineering, tout en préservant les fonctionnalités de l’application.

Résiliation et élimination

  • Confirmez que le fournisseur de cloud respecte la politique de votre entreprise en matière d’élimination des supports de stockage de données.
  • Demandez au fournisseur de services cloud d’appliquer un nettoyage et une désinfection obligatoires des données sous le contrôle et l’approbation de votre entreprise à l’expiration du contrat.
  • Définissez une stratégie de sortie avec des termes qui déclenchent la récupération des actifs et des données de votre entreprise dans un laps de temps déterminé.
  • Indiquez que toutes les données doivent être renvoyées dans un format prédéfini dans les 30 jours suivant la résiliation et que le fournisseur de services d’informatique en cloud conserve, sauvegarde et sécurise les données jusqu’à leur restitution.
  • Négociez des conditions interdisant les résiliations basées uniquement sur le confort du fournisseur de cloud et, à défaut, négociez un préavis d’au moins six mois avant que le fournisseur de cloud ne résilie.
  • Obliger le fournisseur de services cloud à fournir une documentation sur les configurations, les manuels, les manuels de lecture, les procédures, les mots de passe et les codes de sécurité ayant une incidence sur les données de la société.
  • Confirmez à quelle partie appartient quel actif et comment la propriété a été déterminée (c.-à-d. En vertu de quelle disposition du contrat).
Connaissez vos exigences de sécurité pour protéger vos investissements dans le cloud

Le consommateur actuel de services de cloud computing doit non seulement maîtriser la gestion des contrats, mais aussi faire correspondre les ressources humaines, les processus et les technologies aux exigences de sécurité. Préparez-vous à négocier et à ne pas signer les conditions générales sans réflexion, car elles pourraient exposer votre entreprise à des risques imprévus. Ne présumez pas que la négociation est impossible simplement parce que le fournisseur de cloud dit que tel est le cas.

Le passage au cloud est un changement de paradigme, car les informations et les processus une fois sous le contrôle de votre entreprise sont transférés aux fournisseurs de cloud. Cela change votre posture de sécurité, ce qui crée un besoin accru de diligence raisonnable dans le cadre de votre contrat de cloud computing. Le contrôle des éditeurs de cloud sur l’ensemble ou une partie de l’infrastructure informatique ne dégage généralement pas les entreprises des responsabilités en matière de sécurité. Connaître les exigences de sécurité à inclure dans les contrats de votre fournisseur de cloud aidera à maximiser et à protéger les investissements dans le cloud de votre entreprise.