des infrastructures plus sûres pour l’externalisation.
Tous les hébergements ne sont pas nés égaux :
certains apportent plus de garanties que d’autres en matière de sécurité et de conformité.
L’hébergement informatique s’est considérablement démocratisé durant la dernière décennie, ce qui a conduit à une chute parfois vertigineuse des tarifs et surtout un éventail de choix accru.
De l’hébergement dans le Cloud à la location de baies traditionnelles, des offres de Platform as a Service (PaaS) à celles d’Infrastructure as a Service (IaaS), en passant bien sûr par le “serverless computing” (seul compte le code à déployer), les offres d’hébergement actuelles permettent de choisir celle qui répondra le mieux aux critères de disponibilité de ressources en interne, d’évolutivité ou de volumétrie. Mais plus encore aux besoins métiers : des fournisseurs comme Amazon, Google ou surtout Microsoft proposent ainsi des offres d’hébergement dédiées au Machine Learning, à l’analyse de données, aux objets connectés, etc.
Cependant, si les besoins métiers sont effectivement couverts, quid des exigences de sécurité ? Evidemment les principaux hébergeurs protègent correctement leurs centres de données. Et d’ailleurs, pour les entreprises dont la technologie n’est pas le coeur de métier, leurs équipements seront probablement plus en sécurité virtualisés chez Amazon ou Microsoft Azure plutôt qu’hébergés en interne !
Pour autant, il est parfois possible d’aller plus loin et c’est ce que proposent les hébergeurs d’infrastructures sécurisées. Plusieurs critères peuvent ainsi être mis en avant :
- Conformité PCI-DSS.
Pour l’entreprise qui souhaite héberger des systèmes de paiement en ligne la conformité de l’hébergeur à la norme PCI-DSS est essentielle (voir notre catégorie “Conformité”)
- Certification ISO 27001.
Preuve d’un système d’information maîtrisé et suivi, la conformité ISO 27001 est régulièrement mise en avant comme argument commercial.
- Sécurité physique des installations.
Le contrôle d’accès aux locaux, la protection mécanique et électronique des bâtiments et la surveillance périmétrique est un point essentiel parfois minimisé. L’on pourra s’inspirer ici de la norme APSAD R31 pour les centres de télésurveillance (enceinte forte isolée avec base de vie, recyclage de l’atmosphère, porte extérieure BP2, sas, fenêtres BR3…)
- SOC 1 et SOC 2, types I ou II.
Pour les fournisseurs de solutions Cloud, les certifications de type SOC décrivent le système d’organisation de la sécurité et comprennent des tests détaillés des contrôles et de l’organisation de la sécurité en interne.
- Les autres normes métier.
Hébergement de données à caractère médical, normes comptables ou fédérales américaines (SOX, SSS 564, NIST 80053…), etc.