Sécurité de l’information

05.03.2020

Audits auprès du fournisseur d’hébergement/Cloud.

Audit IT Services

Depuis le RGPD / GDPR, nous savons tous : Du fait de leur activité pour le compte d’entreprises, les fournisseurs d’hébergement, respectivement de Cloud, doivent être intégrés par contrat pour le traitement des données. Il est possible de passer des contrats avec la plupart des fournisseurs d’hébergement reconnus.

Selon l’article 24 (1), il peut s’avérer nécessaire de réexaminer et actualiser les mesures techniques et organisationnelles. Mais comment le client peut-il vérifier si le fournisseur d’hébergement, resp. Cloud respecte ces points contractuels ? Au moyen d’un audit périodique.
Quels sont les points principaux qui peuvent être analysés dans ce contexte ?

  • Existence d’un concept actuel de sécurité des données qui correspond à la solution.
  •  Lors d’une visite sur place : les mesures techniques du centre informatique correspondent à la convention.
  • Vérification des mesures techniques pour le fonctionnement des systèmes.
  • Contrôles. À l’exemple de…
    ... sauvegardes : Est-ce que les volumes des données existants correspondent aux intervalles stipulés dans le contrat ?
    ... droits d’accès : qui reçoit quels logins et quelles informations ?
    ... une fuite de données (Data Breach) : Est-ce que le fournisseur connait le flux des informations et respecte-t-il la règle des 72 heures ?
  • Justificatif, quels collaborateurs/départements/groupes ont quels droits d’accès.
  • Actualité de la liste des tierces personnes inclues pour fournir la prestation.