Accueil
Envoyer
Imprimer
Partager
En effet, si le Cloud séduit de plus en plus d’entreprises, ces dernières s’interrogent néanmoins sur la protection de leurs informations (données à caractère personnel, données réglementées, données stratégiques…) et ceci, dans un contexte de recrudescence des actes de cyberattaques et de programmes de surveillance.
Comment fonctionne la méthodologie O.S.C.A.R. ?
Afin de pouvoir répondre à ces craintes, les experts Sécurité de Devoteam en collaboration avec Devoteam Research and Innovation (DRI[1]) ont donc développé une offre d’analyse de risque liée aux environnements Cloud, nommée O.S.C.A.R.
O.S.C.A.R. peut s’adapter et servir plusieurs objectifs suivant la problématique de l’entreprise cliente : analyser les risques liés à une solution Cloud particulière déjà utilisée par les métiers sans accord de la DSI (« Shadow IT ») ou destinée à l’être dans le cadre d’un futur projet Cloud, comparer différentes offres Cloud sous l’angle des risques et de la sécurité, aider à la prise de décision pour migrer dans le Cloud…
La démarche O.S.C.A.R. repose sur une collecte d’information auprès des représentants du métier, mais aussi des responsables sécurité et des fournisseurs. Elle est réalisée par le biais d’entretiens basés sur un questionnaire « O.S.C.A.R. » et par une étude de la documentation du fournisseur décrivant son offre Cloud (SLA, contrats, choix techniques, certifications, etc.). Ces informations sont ensuite consolidées et analysées, permettant ainsi d’identifier et d’évaluer les risques liés à l’environnement du client suivant deux cas de figure différents : avec et sans Cloud.
Basé sur plusieurs publications et autres standards d’organismes reconnus du monde de la sécurité et/ou du Cloud (ENISA, NIST, CSA, ANSSI), l’outil fournit un panel de risques à étudier permettant de couvrir à la fois les aspects techniques, physiques, organisationnels et juridiques.
Quels bénéfices la méthodologie O.S.C.A.R. apporte-t-elle aux entreprises ?
O.S.C.A.R. est une démarche « flash » et outillée qui offre au client une visibilité globale des risques inhérents à l’utilisation d’une solution Cloud au sein de son système d’information. L’outil fournit aussi une liste de mesures issues du recueil de bonnes pratiques ISO/CEI 27002 qui permet de traiter les risques identifiés. Au final, sur la base des résultats issus de la démarche O.S.C.A.R., le client est capable :
de prendre en compte l’ensemble des scénarios de risques intégrés dans l’outil,
d’estimer les coûts de mise en place des mesures de traitement des risques,
d’évaluer le niveau de risque après application de mesures de sécurité.
Parmi les scénarios de risques intégrés à la méthodologie OSCAR, on note par exemple celui-ci : « le Plan de Continuité d’Activité (PCA) et/ou le Plan de Reprise d’Activité (PRA) n’est pas opérationnel ». Prendre en compte ce scénario est primordial lorsque les applications traitées dans le périmètre de l’étude sont critiques et qu’elles ont de fortes contraintes de disponibilité. Devoteam préconisera alors l’implémentation de bonnes pratiques (ISO 27002) et l’intégration d’un observateur pour le compte du client lors des tests PCA/PRA du fournisseur de la solution Cloud.
Par ailleurs O.S.C.A.R. permet :
d’industrialiser la réflexion autour de l’évaluation des risques,
d’optimiser la démarche d’externalisation des actifs des clients dans le Cloud lorsque les risques identifiés sont considérés comme acceptables.
Pour l’externalisation d’applications sensibles ou critiques, Devoteam préconise la réalisation d’une analyse complémentaire, pouvant comporter des audits techniques. Plus globalement, Devoteam recommandera au client souhaitant adhérer au Cloud :
Une souscription à une assurance contre les pertes de données ou tout autre incident de sécurité sur des applications hébergées dans le Cloud.
Un engagement des fournisseurs sur les pénalités en cas de défaillance de leurs services ou de pertes business liées à l’arrêt du service proposé.
O.S.C.A.R., une méthodologie déjà éprouvée auprès de plusieurs clients
A titre d’exemple, la méthodologie O.S.C.A.R. a été utilisée dans le cadre d’un besoin émis par un groupe leader dans le secteur de l’énergie pour mener une analyse de risque relative à la solution de Cloud choisie par ses directions métiers.
En s’appuyant sur cette offre de Devoteam, la DSI de ce groupe a voulu s’assurer de la conformité de cette solution Cloud avec les besoins et enjeux métiers d’une part, et avec la politique de sécurité Groupe d’autre part ; plus largement, la DSI a pu mettre en place un processus d’aide à la décision pour externaliser des applications dans le Cloud.
Avec Devoteam, les entreprises peuvent ainsi envisager leur basculement en environnement Cloud en toute sérénité et en tout cas, en toute connaissance de cause vis-à-vis des risques et en les limitant. Une précaution loin d’être un luxe…
A propos de DEVOTEAM :
Devoteam est un groupe de conseil en technologies de l’information et de la communication créé en 1995, partenaire de référence de la transformation IT de ses clients. La combinaison d’une offre de conseil et d’une offre de solutions technologiques permet à Devoteam d’apporter à ses clients un conseil indépendant ainsi que des solutions, de bout en bout, innovantes et industrialisées.
Devoteam a réalisé un chiffre d’affaires de 515 M€ en 2012, il compte actuellement 4 100 collaborateurs dans 23 pays d’Europe, d’Afrique du Nord et du Moyen-Orient.
Devoteam SA (DVT) est cotée au compartiment C du marché NYSE Euronext Paris (Code ISIN : FR 0000073793), fait partie des indices CAC All Shares, CAC All-Tradables, CAC Mid Small et CAC Small.
devoteam.fr/
Comment fonctionne la méthodologie O.S.C.A.R. ?
Afin de pouvoir répondre à ces craintes, les experts Sécurité de Devoteam en collaboration avec Devoteam Research and Innovation (DRI[1]) ont donc développé une offre d’analyse de risque liée aux environnements Cloud, nommée O.S.C.A.R.
O.S.C.A.R. peut s’adapter et servir plusieurs objectifs suivant la problématique de l’entreprise cliente : analyser les risques liés à une solution Cloud particulière déjà utilisée par les métiers sans accord de la DSI (« Shadow IT ») ou destinée à l’être dans le cadre d’un futur projet Cloud, comparer différentes offres Cloud sous l’angle des risques et de la sécurité, aider à la prise de décision pour migrer dans le Cloud…
La démarche O.S.C.A.R. repose sur une collecte d’information auprès des représentants du métier, mais aussi des responsables sécurité et des fournisseurs. Elle est réalisée par le biais d’entretiens basés sur un questionnaire « O.S.C.A.R. » et par une étude de la documentation du fournisseur décrivant son offre Cloud (SLA, contrats, choix techniques, certifications, etc.). Ces informations sont ensuite consolidées et analysées, permettant ainsi d’identifier et d’évaluer les risques liés à l’environnement du client suivant deux cas de figure différents : avec et sans Cloud.
Basé sur plusieurs publications et autres standards d’organismes reconnus du monde de la sécurité et/ou du Cloud (ENISA, NIST, CSA, ANSSI), l’outil fournit un panel de risques à étudier permettant de couvrir à la fois les aspects techniques, physiques, organisationnels et juridiques.
Quels bénéfices la méthodologie O.S.C.A.R. apporte-t-elle aux entreprises ?
O.S.C.A.R. est une démarche « flash » et outillée qui offre au client une visibilité globale des risques inhérents à l’utilisation d’une solution Cloud au sein de son système d’information. L’outil fournit aussi une liste de mesures issues du recueil de bonnes pratiques ISO/CEI 27002 qui permet de traiter les risques identifiés. Au final, sur la base des résultats issus de la démarche O.S.C.A.R., le client est capable :
de prendre en compte l’ensemble des scénarios de risques intégrés dans l’outil,
d’estimer les coûts de mise en place des mesures de traitement des risques,
d’évaluer le niveau de risque après application de mesures de sécurité.
Parmi les scénarios de risques intégrés à la méthodologie OSCAR, on note par exemple celui-ci : « le Plan de Continuité d’Activité (PCA) et/ou le Plan de Reprise d’Activité (PRA) n’est pas opérationnel ». Prendre en compte ce scénario est primordial lorsque les applications traitées dans le périmètre de l’étude sont critiques et qu’elles ont de fortes contraintes de disponibilité. Devoteam préconisera alors l’implémentation de bonnes pratiques (ISO 27002) et l’intégration d’un observateur pour le compte du client lors des tests PCA/PRA du fournisseur de la solution Cloud.
Par ailleurs O.S.C.A.R. permet :
d’industrialiser la réflexion autour de l’évaluation des risques,
d’optimiser la démarche d’externalisation des actifs des clients dans le Cloud lorsque les risques identifiés sont considérés comme acceptables.
Pour l’externalisation d’applications sensibles ou critiques, Devoteam préconise la réalisation d’une analyse complémentaire, pouvant comporter des audits techniques. Plus globalement, Devoteam recommandera au client souhaitant adhérer au Cloud :
Une souscription à une assurance contre les pertes de données ou tout autre incident de sécurité sur des applications hébergées dans le Cloud.
Un engagement des fournisseurs sur les pénalités en cas de défaillance de leurs services ou de pertes business liées à l’arrêt du service proposé.
O.S.C.A.R., une méthodologie déjà éprouvée auprès de plusieurs clients
A titre d’exemple, la méthodologie O.S.C.A.R. a été utilisée dans le cadre d’un besoin émis par un groupe leader dans le secteur de l’énergie pour mener une analyse de risque relative à la solution de Cloud choisie par ses directions métiers.
En s’appuyant sur cette offre de Devoteam, la DSI de ce groupe a voulu s’assurer de la conformité de cette solution Cloud avec les besoins et enjeux métiers d’une part, et avec la politique de sécurité Groupe d’autre part ; plus largement, la DSI a pu mettre en place un processus d’aide à la décision pour externaliser des applications dans le Cloud.
Avec Devoteam, les entreprises peuvent ainsi envisager leur basculement en environnement Cloud en toute sérénité et en tout cas, en toute connaissance de cause vis-à-vis des risques et en les limitant. Une précaution loin d’être un luxe…
A propos de DEVOTEAM :
Devoteam est un groupe de conseil en technologies de l’information et de la communication créé en 1995, partenaire de référence de la transformation IT de ses clients. La combinaison d’une offre de conseil et d’une offre de solutions technologiques permet à Devoteam d’apporter à ses clients un conseil indépendant ainsi que des solutions, de bout en bout, innovantes et industrialisées.
Devoteam a réalisé un chiffre d’affaires de 515 M€ en 2012, il compte actuellement 4 100 collaborateurs dans 23 pays d’Europe, d’Afrique du Nord et du Moyen-Orient.
Devoteam SA (DVT) est cotée au compartiment C du marché NYSE Euronext Paris (Code ISIN : FR 0000073793), fait partie des indices CAC All Shares, CAC All-Tradables, CAC Mid Small et CAC Small.
devoteam.fr/
Lisez gratuitement chaque jour (5j/7) le quotidien Finyear.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise.
Lien direct pour vous abonner : www.finyear.com/newsletter
Lisez gratuitement chaque mois :
- le magazine digital Finyear sur www.finyear.com/magazine
- la lettre digitale "Le Directeur Financier" sur www.finyear.com/ledirecteurfinancier
- la lettre digitale "Le Trésorier" sur www.finyear.com/letresorier
- la lettre digitale "Le Credit Manager" sur www.finyear.com/lecreditmanager
- la lettre digitale "Le Capital Investisseur" sur www.finyear.com/lecapitalinvestisseur
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise.
Lien direct pour vous abonner : www.finyear.com/newsletter
Lisez gratuitement chaque mois :
- le magazine digital Finyear sur www.finyear.com/magazine
- la lettre digitale "Le Directeur Financier" sur www.finyear.com/ledirecteurfinancier
- la lettre digitale "Le Trésorier" sur www.finyear.com/letresorier
- la lettre digitale "Le Credit Manager" sur www.finyear.com/lecreditmanager
- la lettre digitale "Le Capital Investisseur" sur www.finyear.com/lecapitalinvestisseur
Autres articles
-
La fintech française, Powens officialise son rapprochement avec l'Espagnole Unnax. Objectif : devenir le leader de l'open finance et de la finance embarquée en Europe
-
JuneX, le nouveau fonds "evergreen" pour accompagner "autrement"
-
Pomelo annonce une Série A à 35 millions de dollars menée par Vy Capital
-
Louis Vuitton dévoile un nouveau Collectible exclusif pour sa Communauté VIA
-
Nomination | Paymium confie sa stratégie à Alexandre Stachtchenko
