L’adoption du cloud s’est accélérée ces dernières années. Pour Gartner, le marché des services de cloud public devrait progresser de 18 % partout dans le monde en 2017 et les stratégies d’adoption du cloud devraient peser pour plus de la moitié sur les décisions d’achats de prestations de services informatiques jusqu’en 2020.
Si cela devait se révéler vrai, le cloud a un bel avenir devant lui. Cette croissance ne va cependant pas sans poser de nouveaux défis. Alors que la technologie séduit de plus en plus d’entreprises aux quatre coins du monde, les données doivent plus que jamais être protégées d’éventuelles interceptions.
Le nombre de violations de données ne cesse de progresser. Rien que pour cette année, c’est la santé qui a payé le plus lourd tribut, avec 493 infractions contre seulement 445 en 2015, d’après l’indicateur du niveau de violations BreachLevelIndex.com. Le secteur de la santé représente effectivement 25 % de l’ensemble des violations de données survenues cette année. Ces violations peuvent être encore plus graves avec les éventuelles ramifications juridiques qui découlent de l’incapacité à protéger des données sensibles.
Face à ces menaces tangibles pour les informations sensibles, certains secteurs sont tenus, sur le plan juridique, de se conformer à des normes et standards, notamment pour ce qui concerne le traitement des données clients. Les États-Unis ont ainsi adopté la loi sur la continuité de la couverture médicale, dite loi COBRA (Consolidated Omnibus Budget Reconciliation Act), des exigences de reporting au niveau fédéral et fiscal, ainsi que la loi HIPAA (Health Insurance Portability and Accountability Act), pour n’en citer que quelques-unes. Chacune de ces législations applique ses propres standards, consignes, définitions et objectifs. Ainsi, dans le cadre de la loi HIPAA, les entités couvertes doivent respecter les consignes sectorielles pour protéger la confidentialité des données de santé personnelles utilisées.
Quelques entreprises peuvent avoir du mal à se soumettre à une telle avalanche d’obligations de conformité. Aussi, au lieu de se conformer, certaines ne jouent pas le jeu de la conformité et se retrouvent subitement en infraction avec la loi.
Qu’est-ce que la conformité en mode SaaS ?
La conformité en mode SaaS (Compliance-as-a-Service) est née de ce constat. Le concept est le suivant : pour être en mesure d’honorer leurs obligations — et leurs exigences de conformité — les entreprises se tournent vers leurs fournisseurs de services cloud. Ces fournisseurs cloud autorisent les entreprises à utiliser leurs services dont le comportement est préconfiguré en fonction des exigences réglementaires ou normatives. RingCentral offre ainsi la possibilité de configurer le standard téléphonique de l’entreprise pour se conformer aux exigences de la loi HIPAA. Google for Works Apps fait à peu près la même chose avec ce qu’ils appellent leurs « fonctionnalités incluses » (Included Functionality) ou fonctionnalités conformes HIPAA.
Bien d’autres fournisseurs de services cloud reconnaissent la nécessité de fournir à leurs utilisateurs des services conformes aux réglementations. Et de plus en plus d’entreprises font également appel à leurs fournisseurs cloud pour se conformer à certains standards. Voici pourquoi.
Simplification du processus
Comme indiqué plus haut, pourquoi s’embêter à suivre tous les sujets de conformité lorsque l’on peut s’abonner à un service qui intègre des comportements définis en fonction du cadre réglementaire ? Ce service inclut notamment les niveaux de chiffrement demandés et les types de données à masquer/ou protéger de manière renforcée… Il simplifie par ailleurs le processus de mise en conformité. En effet, la plupart des fournisseurs cloud proposent, en plus de leurs services, des formations et des ressources utiles aux entreprises pour simplifier leurs tâches administratives en fonction de leurs obligations réglementaires.
Possibilités de configuration
Au lieu de partir de zéro pour développer un système, les offres de conformité en mode SaaS sont généralement configurables. Vous pouvez ainsi vous abonner au service et le configurer en fonction des besoins de votre entreprise, et pas uniquement en fonction de la réglementation à laquelle vous essayez de vous conformer. Cela représente pour votre entreprise un gain de temps, de ressources et d’énergie pour suivre le rythme d’évolution de ses obligations et des réglementations.
Mises à jour automatiques
Les fournisseurs cloud qui proposent la conformité en mode SaaS doivent suivre en permanence l’évolution des réglementations et des standards pour que leur service offre le niveau de conformité visé. Ils ajustent pour cela leur service au gré de ces changements. Si votre entreprise était abonnée à un tel service, vous n’auriez pas à vous préoccuper de mettre à jour votre système en fonction de ces changements, puisque le fournisseur cloud déploierait automatiquement les mises à jour sur les postes de tous les utilisateurs.
Ces avantages peuvent faciliter votre choix : soit vous faites confiance à votre fournisseur cloud et à ses solutions de conformité en mode SaaS, soit vous essayez par vous-même de respecter vos obligations de conformité. Si les entreprises peuvent dépendre de leurs fournisseurs cloud pour les aider à rester dans le droit chemin, elles ne doivent pas pour autant se décharger complètement de leurs responsabilités. Les solutions de conformité en mode SaaS ne restent après tout que des outils. Ils sont certes utiles, mais c’est aux entreprises de mettre en œuvre les règles, de définir un cadre, et plus important, de former et d’éduquer leurs utilisateurs aux bonnes pratiques pour protéger leurs données ou leurs informations sensibles.
À propos de l’auteur
Mark Dacanay est un professionnel du Marketing Digital en poste depuis plus de 5 ans dans une entreprise B2B de services cloud. C’est un véritable passionné des technologies cloud qui n’a pas la tête dans les nuages. Vous pouvez le joindre sur Twitter et LinkedIn.
Remarque : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.