• la gestion des risques,
• l’audit,
• et la conformité.

Il couvre notamment :

• l’évaluation des fournisseurs de services cloud (CSP),
• la création et la gestion d’un registre de risques cloud,
• les différents types d’exigences de conformité auxquelles les environnements cloud doivent répondre,
• ainsi que les outils et technologies qui soutiennent la gouvernance, la gestion des risques, et la conformité (GRC).

L’objectif global de ce domaine est d’aider à comprendre et à gérer la complexité des risques liés au cloud et le panorama de conformité, souvent multijuridictionnel et en constante évolution.

Objectifs d’apprentissage

Dans ce domaine, vous apprendrez à :

Définir, catégoriser et utiliser des outils pour gérer les risques.

✅ Exemple : utiliser la méthode FAIR pour analyser l’impact financier d’un risque cloud.

✅ Exemple : créer un registre des risques cloud en incluant les risques de mauvaise configuration, d’indisponibilité des services ou d’accès non autorisé.

Identifier les contraintes réglementaires et de conformité nécessitant des audits dans votre environnement cloud.

✅ Exemple : un environnement traitant des cartes bancaires doit respecter PCI-DSS.

✅ Exemple : une entreprise opérant en Europe doit se conformer au RGPD concernant l’hébergement et le traitement de données personnelles.

✅ Exemple : une organisation publique peut être auditée selon ISO/IEC 27001 ou NIST 800‑53 selon son pays.

Identifier les outils techniques et non techniques utilisés pour la gouvernance, la gestion des risques et la conformité.

• Outils non techniques :
  • matrices de responsabilité,
  • politiques et procédures,
  • registres de risques.

✅ Exemple : procédure de gestion des incidents cloud.

• Outils techniques :
  • plateformes GRC,
  • scanners de configuration cloud (CSPM),
  • solutions CASB,
  • outils d’audit automatisés.

✅ Exemple : utilisation d’Azure Security Center / AWS Security Hub pour détecter les écarts de conformité.