Cloud first - Compliance second ?

Des offres variées et prometteuses de la part des hyperscalers, la disponibilité d'un nombre croissant d'applications et de prestations "cloud only" ainsi que la pandémie comme moteur de la numérisation : tous ces facteurs conduisent parfois à prendre des décisions à court terme en faveur d'offres cloud et, malheureusement, à affaiblir souvent des processus GRC (Governance, Risk and Compliance) déjà établis au profit d'une mise en œuvre rapide, sans vraiment se rendre compte des conséquences ultérieures.

Mais que comprend un bon processus GRC lorsque des parties importantes de votre propre informatique sont externalisées vers le cloud ? Traitez les transferts importants de votre environnement informatique vers le cloud de la même manière que vous traiteriez l'externalisation du personnel et des processus d'entreprise vers un prestataire de services et posez-vous les questions suivantes :

Quels sont les obstacles juridiques et réglementaires à franchir ? Des exemples tels que le RGPD, la nouvelle loi sur le devoir de vigilance de la chaîne d'approvisionnement ou la réglementation spécifique au secteur comme MaRisk, Bait et Dora dans le domaine de la finance doivent être pris en compte lors de la prise de décision - et ce, en amont.

Quels sont les processus que vous souhaitez réellement transférer vers le cloud ? Même si vous adoptez à l'avenir une stratégie "cloud first", il n'est peut-être pas conseillé de transférer des processus critiques ou sensibles des systèmes hébergés localement dans les mains d'un tiers. La question de la migration et de la conservation des données dans le cloud conformément à la législation est souvent sous-estimée. Une classification des données peut aider ici, les risques restants doivent être traités par des mesures techniques et organisationnelles (TOM) telles qu'un cryptage propre.

Quels sont les risques auxquels je dois faire face ? Faites une estimation prudente des coûts potentiels, mais aussi de la dépendance réelle vis-à-vis du prestataire de services concerné. Les temps de service et la disponibilité sont-ils adaptés à vos besoins et aux contrats de vos clients ? Souvent, une utilisation hybride ou un modèle multi-cloud s'avère être une alternative plus judicieuse et plus sûre.

Mes collaborateurs sont-ils prêts pour le cloud ? Pour que la transition se fasse en douceur, des formations et des explications sont nécessaires. Il faut également consulter au préalable les organes internes tels que le conseil du personnel, le responsable de la sécurité informatique et le délégué à la protection des données.

Qui assume la responsabilité ? En principe, l'externalisation ne vous dispense pas de vos obligations en matière de protection des données, de sécurité des données et de gestion des risques. On parle souvent de responsabilité partagée : le fournisseur du cloud est responsable de la sécurité du cloud, mais l'utilisateur du cloud est responsable de la sécurité de ses processus et de ses données dans le cloud. Veillez à ce que votre compréhension des responsabilités coïncide avec celle du fournisseur de cloud et soit garantie en conséquence par contrat.

Que faire si les choses tournent mal ? Des erreurs peuvent se produire, cela vaut également pour la numérisation. Si les services de cloud computing sont interrompus, si les centres de données tombent en panne, si les coûts augmentent ou si le "nouveau monde" ne répond pas à vos attentes, une stratégie de sortie doit être mise en place : Pouvez-vous à tout moment réinstaller vos processus et vos données en local ou passer à un autre prestataire de services ? Jouez ces scénarios et documentez les étapes correspondantes, comme dans votre gestion de la continuité des activités (BCM).

Le passage au cloud est un pas vers l'avenir numérique. Pour que cette étape repose sur des bases solides, les externalisations vers le cloud doivent être accompagnées dès le départ d'un processus GRC établi et d'une stratégie de cloud. Le processus GRC doit être adapté à l'ampleur de l'externalisation souhaitée afin de ne pas être un obstacle, mais un facilitateur de la transformation numérique.