Comment choisir une solution sVDR en mode Saas ? Plusieurs critères sont nécessaires pour choisir la solution de stockage et d’accès à des documents confidentiels. A commencer par la sécurité de la plateforme de stockage et de collaboration.
Suite de l'avis d'expert de « Protéger les données sensibles de l’entreprise dans le Cloud (part 1) », par Stéphane PARIS, membre d'IT Social, Responsable des solutions de communication numérique pour le groupe Air Liquide.
La première famille de critères concerne la sécurité (la seconde famille, les fonctionnalités pour les utilisateurs et administrateurs, sera traiter dans la dernière partie de notre avis d'expert).
Chiffrement SSL 128-Bit et 256-Bit
SSL (Secure Sockets Layer) est une technologie de sécurité standard pour établir des communications chiffrées entre le serveur et un client, typiquement entre un serveur Web et un navigateur. Le chiffrement SSL à 128 bits est un minimum et le chiffrement à 256 bits est maintenant recommandé.
Trace des activités (Logs)
La trace des activités ou logs est une liste d’enregistrements horodatés de toutes les activités ou évènements qui ont affecté une configuration ou bien une donnée dans l’espace de stockage. Ces traces permettent d’avoir des preuves tangibles sur les évènements passés.
Rapports d’audit automatique
Les rapports d’audit automatique sont des rapports automatiquement envoyés à l’administrateur du système à la fin d’une période donnée. Ces rapports permettent de vérifier le bon fonctionnement du service et que chaque utilisateur ayant accès à ce service est tracé.
La première famille de critères concerne la sécurité (la seconde famille, les fonctionnalités pour les utilisateurs et administrateurs, sera traiter dans la dernière partie de notre avis d'expert).
Chiffrement SSL 128-Bit et 256-Bit
SSL (Secure Sockets Layer) est une technologie de sécurité standard pour établir des communications chiffrées entre le serveur et un client, typiquement entre un serveur Web et un navigateur. Le chiffrement SSL à 128 bits est un minimum et le chiffrement à 256 bits est maintenant recommandé.
Trace des activités (Logs)
La trace des activités ou logs est une liste d’enregistrements horodatés de toutes les activités ou évènements qui ont affecté une configuration ou bien une donnée dans l’espace de stockage. Ces traces permettent d’avoir des preuves tangibles sur les évènements passés.
Rapports d’audit automatique
Les rapports d’audit automatique sont des rapports automatiquement envoyés à l’administrateur du système à la fin d’une période donnée. Ces rapports permettent de vérifier le bon fonctionnement du service et que chaque utilisateur ayant accès à ce service est tracé.
Sauvegarde des données
La sauvegarde des données permet de sauvegarder régulièrement les données dans le but de les restaurer en cas de problème ou de perte. Dans le cas de protection des données par un chiffrement, il est important de vérifier que la sauvegarde est également chiffrée.
Gestion des droits numériques
Le “Digital rights management” (DRM) permet aux administrateurs de donner la possibilité de gérer les droits d’accès des utilisateurs à un document. Ce système existe en particulier pour les documents de la suite Microsoft Office et pour les documents Adobe PDF.
Dynamic Watermarks
Dynamic watermarks est un marquage dynamique du document garantissant que tous les documents téléchargés depuis la plateforme de stockage seront marqués et identifiés avec le nom de l’utilisateur et la date de chargement.
ISO 27001 Certified
La norme ISO 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. Ce critère permet de s’assurer que la zone de stockage des données est sécurisée et exempte de vulnérabilités.
Gestion des appareils mobiles
La gestion des appareils mobiles permet aux administrateurs de contrôler l’accès aux documents sécurisés depuis des appareils mobiles.
Vérification d’identité par des facteurs ou des voies multiples
Avec cette fonctionnalité, les utilisateurs doivent vérifier leur identité sur plusieurs appareils pour accéder à la plateforme et obtenir des documents. Cela empêche les l’accès aux documents par des appareils volés.
Chiffrement sur ouverture ou sauvegarde
Lors de l’ouverture ou de la sauvegarde des documents manipulés depuis le poste de travail, le document est chiffré. Ceci évite à un tiers de capter le contenu depuis un réseau non sécurisé (WiFi et réseaux publiques).
Protection des données vis-à-vis du fournisseur
La protection des données vis-à-vis du fournisseur empêche même l'entreprise qui fournit le service virtuel de stockage de données d'être en mesure d'afficher le contenu des documents enregistrés.
Certification SAS 70
La certification “Statement on Auditing Standards 70” est une norme d'audit qui démontre qu'une vérification intensive a été menée sur les activités de contrôle de l'organisation. Si une solution de stockage de données a connu une vérification en profondeur dans le cadre de SAS 70 et a obtenu la certification, ce service sera certifié SAS 70.
Certification SSAE 16
La certification “Statement on Standards for Attestation Engagements (SSAE) No. 16” valide la qualité et l’intégrité des processus de contrôles internes. Cette certification remplace l'ancienne norme SAS 70 (Statement on Auditing Standards 70) et est devenue le nouveau standard en matière de contrôle dans les entreprises de services.
AFNOR Certification Z42-013
La norme NF Z 42-013 fournit un ensemble de spécifications de l'AFNOR concernant les mesures techniques et organisationnelles à mettre en œuvre pour l'enregistrement, le stockage et la récupération de documents électroniques, dans des conditions qui assurent l'intégrité.
Gestion des autorisations des utilisateurs
Cette fonctionnalité doit permettre aux administrateurs de définir les niveaux d'accès des différents utilisateurs et d’assurer l’enregistrement des accès pour permettre un audit.
Niveaux d'accès
La gestion des niveaux d’accès est efficace lorsqu'ils sont gérés dans des groupes sous forme de rôles dans lesquels les utilisateurs peuvent être placés. Cette fonctionnalité permet d'économiser du temps lors de la configuration des autorisations des utilisateurs.
Authentification forte à double facteurs
L’authentification à deux facteurs augmente le niveau de protection et de sécurité lors de la connexion en exigeant un code généré aléatoirement, code envoyé sur le téléphone de l'utilisateur, en plus d'un mot de passe. Cela ajoute une autre couche de protection qui rend l'accès à la salle de données beaucoup plus sûr.
Surveillance antivirus
Les solutions qui offrent une analyse antivirus vont scanner automatiquement tous les documents avant la dépose dans la zone de stockage. Ceci permet de s’assurer que les documents ne sont pas infectés.
Multiple facteurs / Vérification à canaux multiples
Avec cette fonctionnalité, les utilisateurs doivent vérifier leur identité sur plusieurs appareils pour être autorisés à accéder aux documents. Cela empêche l’accès aux documents depuis des appareils volés.
Lieu de stockage de données
L'emplacement de la solution (code) et celui des données hébergés ont une importance primordiale. Le datacenter doit être en France ou dans un pays européen.
L'intégration de l'authentification centralisée via le protocole SAML V2
Le protocole Security Assertion Markup Language (SAML) est un format de données standard ouvert basé sur XML pour l'échange de données d'authentification et d'autorisation entre les parties, en particulier entre un fournisseur d'identité et un fournisseur de services. Cette fonctionnalité a permis d'utiliser les comptes d’entreprise pour l'authentification en mode Single Sign On.
Ce type de dispositif évite la multiplication des comptes pour les utilisateurs, améliore l’expérience utilisateur augmentant les chances d’adoption et évite les disparités d’application des politiques concernant les mots de passe.
A suivre – et fin - la seconde famille de critères qui concerne l’adéquation des besoins de l’entreprise avec les fonctionnalités de la solution, les fonctionnalités pour les utilisateurs et administrateurs. Ainsi que loe choix de l'opérateur.
La troisième partie et fin : « Protéger les données sensibles de l’entreprise dans le Cloud (part 3) Quelles fonctionnalités et avec quel fournisseur ? »
