Politique d’utilisation du cloud

La Politique d’utilisation du cloud (P27) fournit une norme unifiée et obligatoire pour l’adoption, la gestion et la gouvernance des services d'informatique en nuage, couvrant les modèles Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) et Software-as-a-Service (SaaS). Elle vise à garantir que toute utilisation organisationnelle des plateformes cloud est sécurisée, conforme aux obligations réglementaires pertinentes, et soutient l’efficacité opérationnelle et l’innovation tout en protégeant la confidentialité, l’intégrité et la disponibilité des actifs informationnels. Le champ d’application de la politique est complet : il s’applique à l'ensemble du personnel, aux contractants, aux fournisseurs tiers et aux consultants impliqués dans tout provisionnement des accès, toute configuration, toute administration ou toute utilisation de services d'informatique en nuage. Cette portée s’étend aux déploiements cloud public, privé, hybride et communautaire, couvre toutes les classifications de données et inclut explicitement les environnements internes et ceux hébergés par des fournisseurs, ainsi que la prévention des services d’informatique en nuage non autorisés et de l’utilisation de clouds personnels à des fins professionnelles. Les objectifs clés de la politique incluent : définir des lignes directrices et un socle de contrôles pour l’adoption du cloud, minimiser les risques opérationnels et réglementaires (tels que les erreurs de configuration, les violations de données et l’accès non autorisé), et imposer des contrôles robustes de sécurité et de protection des données via des obligations contractuelles, une appréciation continue et des droits d'audit pour tous les prestataires tiers de services cloud. La politique exige la tenue centrale d’un registre des services cloud, supervisé par le Responsable de la sécurité des systèmes d’information (RSSI), qui recense les prestataires approuvés, les types de services, les notations des risques, les propriétaires métier et les attributs contractuels, afin de soutenir une gestion du cycle de vie des accès rigoureuse et une surveillance continue de la conformité. Les rôles et responsabilités sont précisément définis, en attribuant des fonctions de gestion et de supervision à la Direction générale, au Responsable de la sécurité des systèmes d’information (RSSI), à l’architecte sécurité cloud, à l’Exploitation informatique, aux Achats, au Juridique et conformité, aux propriétaires de données et aux utilisateurs finaux. La politique impose des contrôles techniques et procéduraux stricts : gestion des identités et des accès fondée sur l’identité (avec contrôle d’accès basé sur les rôles (RBAC) et authentification multifacteur obligatoires pour les comptes d’administration), configurations de sécurité de référence, chiffrement (selon des normes approuvées par le NIST), exigences de journalisation d’audit et intégration des services d'informatique en nuage avec des systèmes de gestion des informations et des événements de sécurité (SIEM). Les contrats avec les prestataires cloud doivent traiter les droits d'audit, les notifications de violations, la restitution/suppression des données et la surveillance continue de la conformité. Les données ne peuvent être transférées vers le cloud qu’après classification des données, et les transferts transfrontaliers doivent respecter les réglementations établies telles que le RGPD. La gestion des risques est centrale : toute dérogation nécessite des exceptions documentées, des plans de traitement des risques détaillés, une approbation par le Responsable de la sécurité des systèmes d’information (RSSI) ou l’architecte sécurité cloud, et une revue à plusieurs niveaux pour les scénarios à haut risque. La gouvernance continue est assurée par une surveillance continue de la conformité régulière, l’intégration à la réponse aux incidents (avec escalade via la Politique de réponse aux incidents (P30)), des revues annuelles et des mises à jour intermédiaires déclenchées par les résultats d’incidents, les migrations ou les changements réglementaires. Les violations des dispositions de la politique, telles que l’utilisation de comptes cloud non approuvés ou la négligence des contrôles requis, entraînent une gamme de conséquences, allant de la formation à une action en justice ou à la résiliation. La Politique d’utilisation du cloud s’articule avec des politiques connexes relatives à la politique de sécurité de l’information, à la gestion des changements, à la classification des données, aux contrôles cryptographiques, à la journalisation et à la surveillance, à la réponse aux incidents et à l’audit, renforçant ainsi son rôle de fondation faisant autorité pour la gouvernance du cloud.