Les préconisations de la part de la DGSI en matière d'hébergement cloud
La Direction Générale de la Sécurité Intérieure (DGSI) a mis en ligne en 2020 des préconisations relatives aux risques liés à l’hébergement des données dans les data centers / le cloud. Les voici résumées :
S’agissant des data centers localisés sur le territoire national, veiller aux conditions générales de vente et d’utilisation. Le contrat ne doit pas permettre le transfert des données hébergées en France vers un pays tiers.
Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.
Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.
Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.
Procéder systématiquement au chiffrement (cryptage) de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.
Limiter les droits des utilisateurs des services dans le nuage, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les historiques de connexion et assurer une gestion rigoureuse des droits d’accès (ouverture et fermeture des accès) pour éviter toute usurpation d’identité.
Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.
Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.
Pour en savoir plus :