Politique d’utilisation du cloud - PME

La Politique d’utilisation du cloud P27S établit des exigences complètes mais pratiques pour gérer les services cloud dans des environnements de petites et moyennes entreprises (PME). Reconnaissant que les PME ne disposent souvent pas de départements informatiques à grande échelle, cette politique est conçue avec des responsabilités claires et rationalisées, telles que l’attribution des décisions clés au Directeur général et au prestataire informatique ou au support technique, plutôt qu’à des rôles spécialisés de RSSI ou de Centre opérationnel de sécurité (SOC), tout en assurant un alignement solide avec les cadres ISO/IEC 27001:2022, RGPD, NIS2 et DORA. La politique s’applique à tous les services basés sur le cloud, gratuits ou payants, couvrant des applications métier courantes telles que les plateformes de partage de documents, les outils SaaS, la visioconférence, la messagerie, les systèmes de sauvegarde et les plateformes clients. Toute personne accédant aux données de l’entreprise, y compris via mobile ou tablette, doit respecter ces règles, qui imposent une approbation préalable pour tous les services cloud et interdisent strictement l’utilisation de services cloud personnels pour les données de l’entreprise, afin de prévenir les risques de services d’informatique en nuage non autorisés. Un registre des services cloud clairement défini doit être tenu à jour afin de suivre chaque plateforme autorisée, l’individu responsable, l’emplacement des données, les droits d'accès et les informations de support. Les contrôles de sécurité sont obligatoires : toutes les plateformes cloud doivent imposer l’authentification multifacteur pour les utilisateurs et les administrateurs ; utiliser des mots de passe forts et complexes ; fournir la journalisation d’audit des activités et des restrictions d’accès (telles que des listes d'autorisation d’IP lorsque disponible) ; et faire l’objet de revues régulières du contenu partagé. Toute violation, telle que l’oubli de désactivation d’un utilisateur ou le partage public de données sensibles, est classée comme un incident de sécurité de l'information et fait l’objet d’actions correctives, y compris la révocation des accès, un réentraînement utilisateur ou, si nécessaire, une escalade juridique et réglementaire. La politique fixe des exigences strictes en matière de politique de conservation des données et de systèmes de sauvegarde, en indiquant que les données critiques pour l’activité ou les données réglementées doivent être sauvegardées régulièrement, conservées afin de satisfaire les obligations légales ou les obligations clients, et que la capacité d’exportation depuis les plateformes cloud doit être confirmée afin d’éviter l’enfermement propriétaire. Les contrats pour les services cloud payants doivent préciser la protection des données, les délais de notification en cas de violations à notifier, la propriété des données et une escalade définie. La conformité est surveillée au moyen de contrôles au moins deux fois par an sur les accès, les mots de passe et le statut administrateur, et toutes les exceptions à la politique doivent être formellement justifiées et approuvées par le Directeur général, avec des mesures compensatoires et des dates d’échéance pour la résolution. La revue et l’amélioration continue sont intégrées : la politique exige une revue annuelle, ainsi que des mises à jour après des incidents, l’introduction de nouvelles plateformes ou des changements réglementaires. Les enregistrements archivés sont conservés de manière sécurisée conformément à la Politique de conservation des données, garantissant que toute activité cloud est auditables pour les exigences internes et externes (y compris ISO). Avec son périmètre ciblé, cette politique fournit aux PME une structure robuste mais gérable pour gouverner l’utilisation du cloud, permettant la conformité réglementaire, la gestion des risques et la continuité opérationnelle.