Blog

Avec un fournisseur Cloud, protégez vos données avec un plan de sortie

You are currently viewing Avec un fournisseur Cloud, protégez vos données avec un plan de sortie

Lorsqu’une relation avec un fournisseur Cloud prend fin – et c’est toujours le cas – le principal objectif d’un plan de sortie en matière de sécurité est de protéger les données de votre entreprise pendant la migration de l’environnement dans le Cloud.

Ce qu'il faut inclure dans le plan de sortie de votre fournisseur Cloud

La résiliation et l’aliénation font partie de la clôture de tout contrat, ce qui peut inclure l’effacement ou la mise hors service d’actifs informatiques. Un accent particulier devrait être mis sur la préservation adéquate des données qui sont stockées, transmises ou traitées dans le Cloud afin que les données soient effectivement transférées ou archivées conformément aux politiques et règlements applicables en matière de gestion des documents.
Un plan de sortie devrait déterminer les actions requises pour l’élimination de vos données, qui comprend :

  • Identifier comment la suppression du service d’un fournisseur Cloud Computing affecte les autres actifs informatiques et les besoins de votre entreprise, tels que les clients et les relations clients, les activités de support commercial et les équipes de support technique ;
  • Déterminer s’il existe des contrôles de sécurité hérités des actifs de TI mis hors service et comment ou si ces contrôles continueront d’être pris en charge ;
  • S’occuper de la préservation et du transfert des données, des actifs informatiques et de la propriété intellectuelle conformément à votre politique de conservation des dossiers et à toute autre exigence légale ou de conformité ;
  • Mettre en œuvre tous les contrôles de sécurité relatifs à l’arrêt et à l’élimination des actifs informatiques, y compris la désinfection des supports, la gestion de la configuration et le contrôle des changements ;
  • Identifier tous les endroits où les données sont ou ont été stockées et prendre les mesures d’assainissement appropriées ; et
  • Mise à jour des inventaires de suivi et de gestion des actifs informatiques avec le nouveau statut des actifs de démantèlement.

Assainir les supports

Étant donné que la mise hors service d’un actif informatique ou la résiliation d’une relation avec un fournisseur cloud est une décision finale, il est crucial de protéger les données concernées contre un accès ou une diffusion par inadvertance. Effectuer l’aseptisation des supports sur tout actif informatique où la représentation magnétique ou électrique résiduelle des données est supprimée, effacée ou écrite et éliminée de façon appropriée. Vous devrez également vous conformer aux politiques, aux lois et règlements applicables, ainsi qu’aux contrats de licence ou à d’autres accords lorsque des actifs informatiques sont vendus, donnés ou mis au rebut.

Les tâches d’assainissement des supports doivent impliquer l’un des processus suivants :

  • Utiliser une méthode de triple passe pour écraser la ressource avec un caractère/motif aléatoire.
  • Exécuter le micrologiciel intégré, Secure Erase Command (pour les disques durs ATA), lorsque techniquement disponible.
  • Démagnétisation du parc informatique.
  • Suivre les exigences de désinfection spécifiques au contrat si elles sont plus rigoureuses.

Parmi les autres priorités de l’assainissement des médias, mentionnons :

  • La mise à jour de l’inventaire et du système de suivi des biens de TI pour tenir compte de la suppression ou de la modification des supports désinfectés qui ont une incidence sur les biens de TI
  • Superviser l’archivage ou la distribution sécurisée de toutes les données que votre entreprise doit conserver, réutiliser ou réutiliser.

Vous devriez exiger un certificat de destruction ou un certificat de recyclage pour vérifier que les biens informatiques ont été correctement désinfectés, y compris les numéros de série et le type de désinfection effectuée. Assurez-vous que le vendeur d’informatique dans les nuages a correctement désinfecté toutes les copies qu’il détient.

Élimination du matériel et des logiciels

Éliminer le logiciel conformément aux licences ou autres accords, lois et règlements. Il devrait rarement être nécessaire de détruire du matériel, à l’exception de certains supports de stockage contenant des données sensibles qui ne peuvent être désinfectées sans destruction. Par conséquent, vous devez enlever et détruire physiquement tout support qui ne peut pas être désinfecté de façon appropriée.

Les tâches d’élimination du matériel et des logiciels doivent impliquer l’un des processus suivants :

  • Désintégration par séparation en composants.
  • Incinération complète en cendres dans un incinérateur agréé.
  • Pulvérisation par broyage en poudre ou en poussière.
  • Déchiquetage par découpage ou déchiquetage en petites particules à l’interne ou par déchiquetage sécurisé sur place par un fournisseur tiers.

D’autres considérations relatives à l’élimination du matériel et des logiciels comprennent :

  • mettre à jour l’inventaire des biens de TI et le système de suivi pour tenir compte de la suppression ou de la modification du matériel et des logiciels ayant une incidence sur les biens de TI ; et
  • Superviser l’archivage ou la distribution sécurisée de toutes les données que votre entreprise doit conserver, réutiliser ou réutiliser.

Vous devriez toujours exiger un certificat de destruction ou un certificat de recyclage pour le matériel et les logiciels.

Préserver les données

Veiller à ce que les données migrant à partir du Cloud puissent être lues et interprétées correctement, rendues dans un format compréhensible par les utilisateurs et considérées comme des représentations exactes de leur structure logique et physique, de leur contenu de fond et de leur contexte.

Pour atteindre ces objectifs, les tâches de préservation des données devraient inclure au minimum les processus suivants.

Acquérir des données dans des formats prêts à la conservation

Les données, ainsi que les images numérisées, seront généralement créées ou capturées dans un format prêt à la conservation. L’acquisition ou l’ingestion de données déjà prêtes à être conservées peut réduire la charge de travail d’un dépôt parce qu’il ne sera pas nécessaire de convertir ou de normaliser les données dans des formats standard ouverts et technologiquement neutres.

Acquérir et normaliser les données dans des formats presque prêts pour la préservation

Les formats prêts à la préservation sont des formats de fichiers propriétaires natifs qui peuvent être facilement normalisés aux formats de fichiers prêts à la préservation grâce à des plug-ins logiciels qui sont largement disponibles.

Acquérir des données patrimoniales

Les données héritées peuvent avoir été initialement créées dans un format de fichier propriétaire qui est obsolète et qui n’est plus pris en charge par le fournisseur Cloud. Les données incorporées dans les formats de fichiers hérités ne peuvent généralement être récupérées et sauvegardées dans un format prêt à la conservation que si un code spécial est écrit pour extraire les données de l’ancien format. Une fois extraites, les données peuvent être écrites dans un format contemporain.

Adopter des formats standards ouverts et technologiquement neutres

Les formats de fichiers standard ouverts et technologiquement neutres comprennent le texte, les images, les photographies, les graphiques vectoriels, les images animées, le son et les pages Web. L’adoption de ces formats de fichiers signifie que le dépôt de données appuiera leur utilisation dans ses activités internes de préservation des données.

Capturez et sauvegardez les métadonnées de préservation

Les métadonnées de préservation, qui consistent à suivre, à saisir et à tenir à jour la documentation de toutes les mesures de préservation associées aux données, consistent à identifier ces événements, les agents qui ont exécuté les mesures et les résultats des mesures, y compris toute mesure corrective prise. La sauvegarde de ces métadonnées, ainsi que la validation de l’intégrité du condensé de hachage, permet d’établir une chaîne de contrôle robuste et jette les bases de la fiabilité des données conservées dans un référentiel.

Maintien de la lisibilité des flux de bits grâce à la suppression de périphériques/suppression de médias

Les périphériques ou supports de stockage numériques ne sont pas à l’abri de la dégradation et de l’obsolescence technologique. Le renouvellement des appareils et des médias est le meilleur moyen de garder les flux de bits disponibles. Si la lisibilité des flux binaires n’est pas maintenue dans le temps, les données seront irrécupérables et il est probable qu’elles seront définitivement perdues.

Migrer vers de nouveaux formats standards ouverts et neutres sur le plan technologique

Les formats standards ouverts et technologiquement neutres ne sont pas à l’abri de l’obsolescence technologique. Les changements inévitables dans la technologie des données signifient que de nouveaux formats de technologie de norme ouverte seront créés qui remplaceront les formats actuels. La solution consiste à passer d’un format standard ouvert, technologiquement neutre, ancien ou actuel, à un format plus récent. La migration transparente des anciens formats vers les nouveaux formats ouverts, technologiquement neutres, est rendue possible grâce à la rétrocompatibilité, où une nouvelle norme peut interpréter le contenu numérique dans une ancienne norme et l’enregistrer ensuite dans la nouvelle norme de format.

Protéger l'intégrité et la sécurité des données

Les technologies imparfaites, ainsi que les erreurs humaines accidentelles et les actions humaines intentionnelles, peuvent corrompre ou compromettre l’intégrité des données en modifiant le flux binaire sous-jacent. La meilleure façon de vérifier qu’aucune modification non autorisée n’a été apportée aux données est de calculer un condensé de hachage avant qu’une action de préservation ne soit effectuée et après que l’action soit terminée. S’il y a un changement d’un seul bit, alors une comparaison des deux l’identifiera.

Un plan de sortie est essentiel pour un départ réussi

Les entreprises doivent exécuter un plan de sortie avec le fournisseur Cloud avec une approche ordonnée pour protéger les données pendant la transition. Selon Gartner, les entreprises ” doivent accorder la priorité à l’atténuation des risques dans le cadre de la mise en œuvre du Cloud Computing. Une stratégie de sortie soigneusement conçue et régulièrement mise à jour pour les applications IaaS, PaaS et SaaS doit faire partie de toute stratégie de Cloud Computing.”

Tous les fournisseurs Cloud peuvent ne pas être en mesure de répondre à vos divers besoins et charges de travail dans tous les secteurs de votre entreprise et de vos applications. Il existe de nombreux choix de fournisseur Cloud  sur le marché, et le fournisseur que vous sélectionnez aujourd’hui ne sera pas nécessairement votre fournisseur de choix demain. C’est pourquoi un plan de sortie mûrement réfléchi est crucial pour le succès global de votre partenariat dans le Cloud

Source: Security Intelligence