Méthodologie EFICAS

Titre_EFICASL’adoption du Cloud nécessite une approche totalement différente de l’externalisation classique tant sur le plan juridique que sur le plan de la sécurité de l’information. Ainsi, pour aider les entreprises à mieux appréhender les risques spécifiques du Cloud computing, VeriSafe a créé la méthodologie EFICAS (Evaluation Formelle et Indépendante du Cloud pour l’Adopter en toute Sécurité).

EFICAS est une méthode d’évaluation de l’éligibilité d’un projet IT au Cloud Computing par une analyse des risques et une évaluation indépendante des fournisseurs.

Avec la méthodologie EFICAS, nous aidons nos clients à évaluer les véritables enjeux, leurs propres tolérance aux risques puis à analyser, évaluer et traiter l’ensemble des risques (organisationnels, juridiques, techniques) de toute solution de Cloud Computing afin de leur permettre de prendre leurs décisions sur la base de critères objectifs.

La méthodologie EFICAS permet :

  • d’évaluer l’éligibilité d’un projet IT au Cloud Computing par une analyse des risques, un plan de traitement des risques adéquat et une évaluation exhaustive et indépendante des fournisseurs,
  • d’analyser les risques liés à une solution Cloud particulière déjà utilisée par les métiers sans l’accord de la DSI (Shadow IT),
  • d’industrialiser le processus de gestion des risques pour un usage multi-projets et une réduction drastique des coûts liés à l’évaluation de la sécurité dans les projets de Cloud computing.

Les 8 phases de la méthodologie EFICAS :

(1) Définir les données éligibles au Cloud par une classification spécifique adaptée à l’organisme (propriété intellectuelle, données réglementées, données métiers, données confidentielles, …).

(2) Evaluer la tolérance aux risques de l’organisme en s’appuyant sur les référentiels de la Cloud Security Alliance (Security Guidance v3.0 et Cloud Control Matrix v3.0.1).

(3) Analyser les risques du projet Cloud cible en appliquant un processus conforme à la norme ISO 27005 et en s’appuyant sur les référentiels de la Cloud Security Alliance (Cloud Control Matrix v3.0.1) et de l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA IAF).

(4) Traiter tous les écarts entre risques tolérés et risques évalués en appliquant les mesures techniques, organisationnelles conformément aux bonnes pratiques des normes ISO 27002, 27017 et 27018 ainsi que l’ensemble des mesures proposées par la Cloud Security Alliance (Cloud Control Matrix v3.0.1).

(5) Evaluer de façon exhaustive l’offre du CSP : Analyse du contrat, des SLA et le cas échéant, négociation, rédaction et validation de nouvelles clauses contractuelles de sécurité. Evaluation des mesures de sécurité (physiques, logiques, juridiques, organisationnelles). Vérification détaillée et exhaustive les certifications de sécurité du CSP (Certificat ISO 27001, CSA OCF STAR niveau 1 ou 2, SSAE16 SOC1 SOC2 SOC3, …).

(6) Identifier les contrats d’assurance spécifiques Cloud les mieux adaptés afin de pallier aux pénalités insuffisantes du fournisseur ou de se prémunir d’une défaillance totale du CSP.

(7) Définir un plan de contrôle continu de la sécurité pendant la durée effective du contrat. Définir les indicateurs de sécurité et les moyens de les mesurer en temps réel.

(8) Rédiger un guide de bonnes pratiques de sécurité à destination des utilisateurs du service Cloud.

N’hésitez pas à nous contacter pour une assistance ou une formation sur mesure à cette méthodologie exclusive développée par VeriSafe.