Devoteam présente OSCAR, offre d’analyse de risque liée aux environnements Cloud

Les experts Sécurité de Devoteam en collaboration avec Devoteam Research and Innovation (DRI) ont développé une offre d’analyse de risque liée aux environnements Cloud, nommée O.S.C.A.R.


Sur la base des résultats issus de la démarche O.S.C.A.R., le client est capable de prendre en compte l’ensemble des scénarios de risques intégrés dans l’outil, d’estimer les coûts de mise en place des mesures de traitement des risques, d’évaluer le niveau de risque après application de mesures de sécurité.

O.S.C.A.R. est une démarche « flash » et outillée qui offre au client une visibilité globale des risques inhérents à l’utilisation d’une solution Cloud au sein de son système d’information. L’outil fournit aussi une liste de mesures issues du recueil de bonnes pratiques ISO/CEI 27002 qui permet de traiter les risques identifiés.

Comment fonctionne la méthodologie O.S.C.A.R. ?

Basé sur plusieurs  publications et autres standards d’organismes reconnus du monde de la sécurité et/ou du Cloud (ENISA, NIST, CSA, ANSSI), l’outil fournit un panel de risques à étudier permettant de couvrir à la fois les aspects techniques, physiques, organisationnels et juridiques.

La démarche O.S.C.A.R. repose sur une collecte d’information auprès des représentants du métier, mais aussi des responsables sécurité et des fournisseurs. Elle est réalisée par le biais d’entretiens basés sur un questionnaire « O.S.C.A.R. » et par une étude de la documentation du fournisseur décrivant son offre Cloud (SLA, contrats, choix techniques, certifications, etc.). Ces informations sont ensuite consolidées et analysées, permettant ainsi d’identifier et d’évaluer les risques liés à l’environnement du client suivant deux cas de figure différents : avec et sans Cloud.

O.S.C.A.R. peut s’adapter et servir plusieurs objectifs suivant la problématique de l’entreprise cliente : analyser les risques liés à une solution Cloud particulière déjà utilisée par les métiers sans accord de la DSI (« Shadow IT ») ou destinée à l’être dans le cadre d’un futur projet Cloud, comparer différentes offres Cloud sous l’angle des risques et de la sécurité, aider à la prise de décision pour migrer dans le Cloud…

Top