Google Cloud et la directive européenne NIS2 sur les réseaux et les systèmes d'information

Nous soutenons vos efforts de conformité avec la directive NIS2 en nous engageant dans nos contrats à implémenter et à maintenir des mesures de sécurité techniques, organisationnelles et physiques en lien avec nos services cloud. Nous vous proposons également des produits et fonctionnalités de sécurité supplémentaires pour vous aider à protéger vos environnements cloud. Nous publions de la documentation et des ressources pour vous aider à évaluer la sécurité de nos services Google Cloud et Workspace.

Vous trouverez ci-dessous des informations sur la manière dont nos contrats, contrôles et processus répondent aux exigences d'acquisition de vos prestataires et fournisseurs de services énoncées dans l'article 21(2) de la directive NIS2 et dans les points 5.1 et 6.1 de l'annexe du règlement d'application de l'UE.

Cybersécurité dans Google Cloud et Workspace

La sécurité dans Google Cloud et Workspace est abordée dans l'Avenant relatif au traitement des données dans le cloud, qui décrit la sécurité des centres de données, du matériel, des logiciels et des réseaux qui sous-tendent les services. La nature "un à plusieurs" de nos services permet à Google d'appliquer les mêmes niveaux de sécurité rigoureux à tous nos clients. Nous fournissons des informations détaillées aux clients concernant nos pratiques de sécurité, afin qu'ils puissent les comprendre et les prendre en compte dans le cadre de leurs exigences d'acquisition.

Pour en savoir plus, consultez les ressources suivantes : 

• Centre de confiance Google Cloud 
• Présentation de la sécurité Google 
• Présentation de la sécurité sur l'infrastructure de Google 
• Ressources concernant la sécurité

Bien que vous définissiez la sécurité de vos données et applications dans le cloud, leur protection est d'une importance capitale pour Google. Nous prenons les mesures proactives suivantes pour vous aider : 

• Chiffrement au repos. Par défaut, Google chiffre les données client stockées au repos, sans exiger d'action de votre part. Pour en savoir plus, consultez la page Chiffrement au repos de Google Cloud et le livre blanc sur le chiffrement dans Google Workspace.
• Chiffrement en transit. Google chiffre et authentifie toutes les données en transit sur une ou plusieurs couches réseau lorsque des données sont transférées en dehors des limites physiques qui ne sont pas contrôlées par ou pour le compte de Google. Pour en savoir plus, consultez la page Chiffrement en transit de Google Cloud et le livre blanc sur le chiffrement dans Google Workspace. 

Vous pouvez choisir d'utiliser les produits Google Cloud Security pour améliorer et protéger la sécurité de vos données. Vous trouverez des informations sur les produits Google Cloud Security sur la page Produits Cloud Security. 

Google publie également des guides et des ressources sur les bonnes pratiques de sécurité du cloud sur les pages Bonnes pratiques de sécurité Google Cloud et Sécurité et protection des données dans Google Workspace.

Google fournit des contrats de niveau de service concernant la disponibilité de ses services cloud. Vous pouvez les consulter sur les pages Contrats de niveau de service de Google Cloud Platform et Contrat de niveau de service de Google Workspace. Les clients peuvent surveiller les performances des services Google (y compris les contrats de niveau de service) de manière continue en utilisant les fonctionnalités mises à leur disposition dans les services. Google gère et met à la disposition des clients des tableaux de bord qui fournissent des informations sur l'état des services Google Cloud à l'adresse https://status.cloud.google.com et des services Workspace à l'adresse https://www.google.com/appsstatus/dashboard/. Les tableaux de bord d'état ne sont fournis qu'à titre indicatif.

Compétences et formation du personnel

Les compétences et la formation du personnel de Google sont abordées dans l'annexe 2 intitulée "Mesures de sécurité" de l'Avenant relatif au traitement des données dans le cloud. Le personnel de Google doit respecter les règles de confidentialité et de protection de la vie privée de Google, suivre une formation sur la sécurité et se soumettre à des exigences supplémentaires adaptées à leur rôle. Le personnel de Google est également tenu de se comporter de manière conforme aux directives de l'entreprise concernant la confidentialité, l'éthique commerciale, l'utilisation adéquate et les normes professionnelles. 

Vérification des antécédents du personnel

La vérification des antécédents du personnel de Google est abordée dans l'annexe 2 intitulée "Mesures de sécurité" de l'Avenant relatif au traitement des données dans le cloud. Google effectue des vérifications raisonnables et appropriées des antécédents, dans la limite autorisée par la loi et conformément à la législation du travail et aux règlements statutaires en vigueur localement.

Notification d'incident

Les engagements de Google concernant la notification des incidents sont énoncés dans la section 7.2 de l'Avenant relatif au traitement des données dans le cloud. Google informe les clients rapidement et sans délai dès qu'il a connaissance d'un incident relatif aux données, et prend rapidement des mesures raisonnables afin de minimiser les dommages et de sécuriser les données client. Pour en savoir plus, consultez la page Processus de réponse aux incidents liés aux données.

Rapports d'audit

Nous savons que vous exigez un examen indépendant des dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Google s'engage à respecter les normes internationales essentielles suivantes pendant la durée de notre contrat : 

• ISO/IEC 27001 (Systèmes de gestion de la sécurité de l'information) 
• SOC 2 
• SOC 3

ainsi que toute certification supplémentaire décrite dans l'annexe 4 de l'Avenant relatif au traitement des données dans le cloud. Vous pouvez consulter les certifications et rapports d'audit actuels de Google à tout moment. Le gestionnaire des rapports de conformité permet d'accéder facilement et à la demande à des ressources essentielles sur la conformité.

Gestion des failles

Le processus interne de gestion des failles de Google permet de rechercher activement les menaces de sécurité dans toutes les piles technologiques. Ce processus utilise un ensemble d'outils disponibles sur le marché, Open Source et conçus en interne. Les failles que nous avons corrigées sont publiées dans les bulletins de sécurité Google Cloud. Pour en savoir plus sur la gestion des failles, consultez notre présentation de la sécurité Google.

Pratiques des sous-traitants en matière de cybersécurité

Les exigences de Google en matière de cybersécurité pour ses sous-traitants sont abordées dans la section 11 et l'annexe 2 "Mesures de sécurité" de l'Avenant relatif au traitement des données dans le cloud. Avant d'intégrer un sous-traitant indirect, Google effectue un audit de ses pratiques en matière de sécurité et de confidentialité afin de s'assurer qu'il fournit en la matière un niveau adapté à son accès aux données et au champ d'application des services qu'il est chargé de fournir. Une fois que Google a évalué les risques présentés par le sous-traitant, celui-ci est tenu d'accepter les conditions contractuelles appropriées en termes de sécurité, de confidentialité et de vie privée.

Récupération et suppression des données

La récupération et la suppression des données client au moment de la cessation du contrat sont abordées dans les sections 6 et 9 de l'Avenant relatif au traitement des données dans le cloud. Google permet aux clients d'exporter leurs données de manière cohérente avec les fonctionnalités des services. Google supprime les données client de ses systèmes à la fin de la période d'engagement, comme décrit à la section 6.

Google continuera de faire évoluer ses capacités en fonction des modifications du paysage réglementaire.