Sélection de la langue

Infonuagique sécurisée et services de TI externalisés

Petites et moyennes organisations : Infonuagique sécurisée et services de TI externalisés

La plupart des petites et moyennes organisations ont recours à des fournisseurs externes pour répondre à leurs besoins en matière de TI. Bien que cette façon de faire permette d’obtenir des solutions économiques, elle présente aussi des enjeux en matière de cybersécurité.

Qu’entend-on par services de TI offerts par des fournisseurs externes?

Les services infonuagiques et les services de TI comprennent le stockage, le traitement ou les services informatiques, les applications, l’hébergement et la gestion de sites Web, de même que la gestion des systèmes de paiement en ligne. Ces services offrent certains des avantages suivants :

  • Réduire les coûts d’achat, de maintenance et de mise à niveau du matériel et des logiciels;
  • Éliminer le besoin de développer et de maintenir une expertise TI interne;
  • Avoir accès à des services adaptés et flexibles payables à l’utilisation selon les besoins organisationnels;
  • Recourir à des services de sauvegarde externes et à des plans de reprise en cas de catastrophe.

La prestation de services par des fournisseurs externes peut aussi poser des risques. En mettant de l’information sensible à la disposition complète de fournisseurs externes, votre organisation pourrait connaître des problèmes. Elle devrait réfléchir à la manière dont les fournisseurs externes traiteront l’information sensible. Elle devrait par exemple penser aux processus de notification qui sont en place lorsque des fournisseurs accèdent à de l’information sensible sans en avoir l’autorisation préalable. Votre organisation doit s’assurer que des protections sont en place (conformité aux principes des services Trust) pour qu’elle puisse gérer les risques que pose la prestation de services de TI par des fournisseurs externes.

Votre organisation doit en outre tenir compte des enjeux liés à la résidence des données. Les fournisseurs externes peuvent détenir des serveurs basés dans d’autres pays, ce qui signifie que les données qui y sont stockées sont soumises à des lois différentes en matière de protection de la vie privée. Après avoir déterminé la provenance des services offerts par leurs fournisseurs externes, les organisations doivent évaluer leur niveau de confort en ce qui a trait aux protections juridiques des pays concernés et établir si ces protections répondent à leurs besoins au Canada.

Recommandations pour votre organisation :

  • Exiger de tous leurs fournisseurs de services infonuagiques leur certification SSAE 18 SOC 3 (AICPA) démontrant leur conformité aux principes des services Trust;
  • Remarque : L’équivalent canadien, la NCMC 3416 du CNAC, peut aussi être utilisé;
  • Établir dans quelle mesure les fournisseurs de TI externes traitent son information sensible et y accèdent;
  • Évaluer les pouvoirs juridiques des pays où les fournisseurs externes stockent ou utilisent son information sensible;
  • S’assurer que ses réseaux et les utilisateurs interagissent de façon sécurisée avec tous les services et toutes les applications infonuagiques;
  • S’assurer que les comptes administratifs liés aux services infonuagiques s’appuient sur un mécanisme d’authentification à deux facteurs et qu’ils sont différents des comptes administratifs internes.

Information supplémentaire :

Date de modification :