Les entreprises disposent de plus de données et d’actifs numériques que jamais, et le paysage commercial de Singapour regorge de fournisseurs de services cloud et de centres de données pour aider les organisations à stocker leurs données et fournir des applications et logiciels pour gérer leurs opérations. Une interruption de système ou une perte de données par un fournisseur de services cloud ou un centre de données peut avoir un impact significatif sur la capacité d’une organisation à fournir ses produits et services. C’est pourquoi l’Infocomm Media Development Authority (IMDA) a introduit de nouvelles directives consultatives pour les fournisseurs de services cloud et les centres de données.

Bien que ces directives ne soient pas encore obligatoires, il est conseillé aux fournisseurs de services cloud et aux centres de données de Singapour d’aligner leurs processus sur ces recommandations pour garantir des services fiables qui protègent les données des clients. Dans cet article, nous examinons ce que signifient ces nouvelles directives pour les fournisseurs de services cloud et les centres de données, et détaillons comment mettre en œuvre les meilleures pratiques en matière de gestion des risques cyber, de gestion des incidents, de gouvernance et de contrôles pour répondre aux exigences.

 

Quelles sont les directives consultatives de l’IMDA pour les fournisseurs de services cloud ?
Les directives consultatives de l’IMDA pour les fournisseurs de services cloud sont conçues pour s’aligner sur les normes de sécurité informatique existantes comme ISO 22301 et ISO 27001. Elles sont divisées en 7 domaines principaux :

  1. Mesures de gouvernance cloud : Cette section couvre la gestion de la sécurité de l’information, les rôles et responsabilités, la gestion des risques, les risques liés aux tiers, la conformité réglementaire, la gouvernance des données, les politiques d’utilisation acceptable, la mise en œuvre d’un SMSI, la gestion des incidents cyber et la mise en œuvre de contrôles de gouvernance des données, etc.
  2. Sécurité de l’infrastructure cloud : Cette section décrit les mesures relatives à la journalisation des audits, au suivi des utilisateurs et à l’accès sécurisé. Elle fournit également des conseils concernant la configuration sécurisée des contrôles, les tests de sécurité, le développement des systèmes et le chiffrement.
  3. Gestion des opérations cloud : Cette section partage les mesures concernant les opérations, le contrôle de sécurité, les politiques, les procédures, les mesures de résilience et la gestion des changements.
  4. Administration des services cloud : Cette section stipule des directives sur la gestion des comptes privilégiés par la mise en œuvre de contrôles et de processus de gouvernance.
  5. Accès client aux services cloud : Cette section comprend des mesures relatives aux contrôles d’accès utilisateur pour les clients nécessitant la mise en œuvre de contrôles, de politiques et de procédures de gouvernance.
  6. Isolation des locataires et des clients : Cette section comprend des mesures relatives à l’isolation des locataires et des clients nécessitant des contrôles d’accès utilisateur et des politiques pour garantir que les clients ne représentent pas une menace les uns pour les autres.
  7. Résilience cloud : Cette section décrit les mesures de mise en place de contrôles et de gouvernance pour assurer la sécurité physique et environnementale, ainsi que la mise en œuvre de plans de continuité d’activité et de reprise après sinistre.

Lire les directives complètes de l’IMDA pour les fournisseurs de services cloud.

Quelles sont les directives consultatives de l’IMDA pour les centres de données ?
Les directives consultatives de l’IMDA veulent que les centres de données se concentrent sur la gestion de différents facteurs de risque pour garantir leur bon fonctionnement. Cela comprend :

  • Risque d’infrastructure : Concernant l’alimentation, le refroidissement, la connectivité et la sécurité des bâtiments.
  • Risque de gouvernance : Concernant des opérations robustes, une résolution rapide des incidents et des protocoles de gestion des changements.
  • Risque cyber : Concernant les cyberattaques et la nécessité de contrôles suffisants.

Les directives suggèrent que les centres de données devraient mettre en œuvre un système de gestion de la continuité d’activité pour résoudre les incidents inattendus et adopter une boucle continue de processus Planifier, Faire, Vérifier et Agir pour maintenir et améliorer continuellement les mesures de résilience et de sécurité. Les directives de l’IMDA suggèrent également que les entreprises devraient mettre en œuvre des mesures pour gérer le risque cybersécurité, en mettant en place un Système de Gestion de la Sécurité de l’Information (SMSI), des contrôles efficaces et des politiques. Elles doivent également s’assurer que tous les fournisseurs de services tiers se conforment aux politiques, normes, procédures et obligations contractuelles pertinentes en matière de sécurité de l’information et de gestion des risques par le biais d’examens réguliers, rendant essentiel un programme robuste de gestion des risques tiers.

Lire les directives complètes de l’IMDA pour les centres de données.

Comment les fournisseurs de services cloud et les centres de données peuvent-ils mettre en œuvre des processus pour s’aligner sur les directives de l’IMDA ?
Beaucoup des exigences décrites dans les directives de l’IMDA nécessitent que les entreprises disposent de procédures de meilleures pratiques pour la gestion des risques cyber, la gestion des incidents cyber, et la continuité d’activité et la reprise après sinistre. De nombreuses exigences imposent également aux fournisseurs de services cloud et aux centres de données de mettre en œuvre des procédures strictes de gouvernance, des contrôles de cybersécurité et des politiques. Les fournisseurs de services cloud et les centres de données devraient également disposer de mesures pour gérer les risques associés aux fournisseurs de services tiers.

Heureusement pour les fournisseurs de services cloud et les centres de données, il existe des plateformes logicielles qui offrent un cadre de meilleures pratiques pour gérer tous ces domaines. Voici comment cela fonctionne…

Gestion des risques cyber : Les entreprises peuvent utiliser un logiciel pour créer un registre des risques cyber dans la plateforme. Chaque risque potentiel est ensuite catégorisé et évalué en fonction de sa probabilité et de sa gravité, et des indicateurs clés de risque (KRI) sont définis. Les niveaux de risque sont ensuite surveillés pour s’assurer qu’ils restent dans l’appétence au risque souhaitée. Si les niveaux de risque dépassent les niveaux tolérables, le personnel est alerté et des workflows automatisés leur permettent d’escalader le risque et de mettre en œuvre des actions correctives. Les niveaux de risque sont surveillés de plusieurs façons. Le personnel peut remplir des formulaires d’évaluation des risques en ligne, les workflows automatisés font circuler les formulaires et toutes les données alimentent la plateforme. Alternativement, la plateforme peut s’intégrer à vos autres systèmes et données informatiques via des intégrations API et extraire des données opérationnelles dans la plateforme qui peuvent être utilisées pour suivre les niveaux de risque.

 

Contrôles : Bien sûr, pour gérer les niveaux de risque et la conformité en matière de cybersécurité, les entreprises doivent mettre en œuvre divers contrôles. Les contrôles peuvent être une politique ou une procédure, ils peuvent être une vérification ou un test régulier, ou ils peuvent être des mesures de sécurité informatique comme des pare-feu, des sauvegardes ou du chiffrement. Quel que soit le contrôle, il doit être documenté, mappé aux risques ou exigences réglementaires pertinents, et vérifié et testé régulièrement. En utilisant un logiciel GRC, les entreprises peuvent créer une bibliothèque de contrôles et facilement mapper les contrôles aux risques ou réglementations pertinents. Le logiciel peut également automatiser l’ensemble du processus de vérification et de test des contrôles, les workflows automatisés notifient le personnel lorsque les vérifications et tests des contrôles sont dus, et ils complètent les informations dans la plateforme. Cela permet aux équipes de direction de comprendre facilement si les contrôles sont efficaces.

 

Gestion des incidents cyber : Le logiciel peut également automatiser le processus de gestion des incidents cyber. Les entreprises enregistrent simplement les incidents cyber dans la plateforme ou, dans certains cas, les incidents peuvent être créés sur la base de tickets dans votre fonction de support informatique existante. Les formulaires s’adaptent dynamiquement en fonction du type d’incident enregistré pour garantir que les données pertinentes peuvent être capturées, des photos, des enregistrements vocaux, des URL et des fichiers peuvent également être ajoutés comme preuves. Une fois qu’un incident est enregistré, des workflows automatisés escaladent l’incident vers la partie prenante concernée et capturent toutes les actions correctives, les étapes et toute analyse des causes profondes nécessaire jusqu’à la résolution de l’incident. Le système peut s’intégrer à votre annuaire actif vous permettant de mapper le personnel, les sites et l’équipement aux incidents connexes. La direction peut facilement voir la source des incidents récurrents leur permettant de mettre en œuvre des mesures préventives. Ils peuvent également comprendre la progression des incidents et savoir quels incidents sont ouverts ou en suspens. Lors de l’utilisation d’un logiciel GRC pour la gestion des incidents cyber, les incidents peuvent facilement être mappés à tous les risques ou exigences réglementaires associés.

 

Gestion des politiques cyber et IT : Le logiciel peut également être utilisé pour centraliser votre bibliothèque de politiques IT. Une fois qu’une politique est créée, elle est téléchargée dans le système, capturant les détails critiques sur le propriétaire, l’applicabilité et les dates d’expiration ou de révision. Des workflows automatisés sont utilisés pour automatiser les approbations de politiques, les escalades, les changements et les révisions. Le personnel sait toujours quelle politique est en vigueur, ils peuvent consulter les copies précédentes pour le contrôle des versions, et le personnel peut même attester des politiques en ligne pour confirmer qu’ils ont lu et compris la politique.

 

Continuité d’activité et résilience : Le logiciel peut également être utilisé pour automatiser la continuité d’activité et la résilience. Les organisations créent un registre des processus métier pour identifier leurs processus critiques et toutes les dépendances ou inefficacités. Le logiciel peut également être utilisé pour automatiser les évaluations d’impact sur l’activité. Les workflows envoient des formulaires BIA et le personnel les remplit en ligne. Les mises à jour régulières des plans peuvent également être automatisées. Des workflows sont mis en place pour inciter le personnel à vérifier et mettre à jour régulièrement les plans de leur zone, garantissant que les plans restent à jour. Vous pouvez également utiliser la plateforme BCM pour effectuer des exercices de test de résilience par rapport à différents scénarios et vulnérabilités pour identifier les lacunes. Ces plateformes offrent généralement des modules complémentaires pour la gestion de crise et la communication d’urgence afin de garantir que les organisations peuvent communiquer efficacement avec le personnel en cas de crise. Certaines solutions offrent même des intégrations avec des fournisseurs de renseignements sur les menaces tiers pour fournir des informations sur les menaces émergentes.

 

Gestion des risques tiers : De nombreuses plateformes GRC peuvent également automatiser la gestion des risques tiers. Les entreprises créent un registre des fournisseurs dans la plateforme capturant les détails critiques sur chaque fournisseur, y compris les coûts, les contacts clés, les SLA, les KPI et les conditions contractuelles. Le système automatise le processus d’évaluation des risques fournisseurs. L’automatisation des workflows envoie des notifications aux fournisseurs pour qu’ils complètent les évaluations des risques via un portail en ligne avec toutes les données alimentant la plateforme. La performance des fournisseurs est également suivie par rapport aux SLA et KPI en extrayant des données transactionnelles et opérationnelles dans la plateforme via des intégrations API. De nombreuses solutions de risque tiers s’intègrent avec des fournisseurs de renseignements sur les risques tiers pour alerter les entreprises lorsque leurs fournisseurs font les gros titres pour de mauvaises raisons. Ces systèmes formalisent également le processus d’intégration et de désengagement pour s’assurer qu’aucune clause contractuelle n’est manquée. Ce processus complet garantit que les fournisseurs de services cloud et les centres de données travaillent avec des tiers réputés.

 

Pourquoi les fournisseurs de services cloud et les centres de données doivent agir maintenant pour aligner leurs processus sur les directives de l’IMDA
Bien que les directives consultatives de l’IMDA ne soient pas obligatoires, les fournisseurs de services cloud et les centres de données devraient tout de même suivre ces recommandations pour se protéger contre les risques et incidents inattendus et garantir que leurs services restent opérationnels. Avec de nombreuses entreprises s’appuyant sur un modèle d’exploitation largement numérique, les fournisseurs de services cloud et les centres de données font partie de notre infrastructure critique, et une violation de données ou une défaillance pourrait être catastrophique pour les personnes touchées. Suivre ces directives permettra également probablement de sécuriser de nouvelles activités pour les fournisseurs de services cloud et les centres de données, car ils peuvent prouver qu’ils disposent de mesures de sécurité adéquates pour protéger les données des clients et garantir qu’ils restent opérationnels en cas de crise.

Si votre organisation cherche à mettre en œuvre des processus de meilleures pratiques pour la gestion des risques cyber, la gestion des incidents cyber, la gestion des risques tiers, la continuité d’activité et la résilience, et la gouvernance, les contrôles et les politiques cyber, contactez-nous aujourd’hui ou demandez une démonstration.