Centre de ressources pour la gestion des risques liés aux tiers

Google Cloud s'efforce de maintenir un programme de gestion des risques liés aux tiers robuste, qui protège non seulement les opérations de Google Cloud, mais qui préserve également la confiance des clients et des partenaires de Google Cloud.

Contacter le service commercialInsights pour les RSSI

Introduction

Google Cloud peut faire appel à des tiers (sous-traitants) pour effectuer des activités spécifiques en lien avec les services Google Cloud. Ces sous-traitants sont surveillés et gérés via le programme de gestion des risques liés à des tiers (TPRM) de Google Cloud, qui est conçu pour garantir que les engagements pris avec tout sous-traitant respectent les normes élevées de sécurité, de conformité et d'efficacité opérationnelle de Google Cloud.


L'engagement de Google Cloud se traduit par des investissements continus dans l'amélioration de nos capacités de gestion des risques liés aux tiers, afin de garder une longueur d'avance dans un contexte en constante évolution. De plus, les tiers doivent assumer leurs responsabilités sociales, environnementales et éthiques telles que définies dans le code de conduite des fournisseurs.

Code de bonne conduite des fournisseurs

Présentation des sous-traitants

Le programme de gestion des risques liés aux tiers de Google Cloud adopte une approche basée sur les risques pour identifier, évaluer, gérer et surveiller les tiers de façon proportionnelle au niveau de risque qu'ils représentent. Les tiers qui fournissent des services importants font l'objet d'une gouvernance et d'une surveillance renforcées. En particulier, le programme de gestion des risques liés aux tiers fait la distinction entre les sous-traitants qui traitent les données client (sous-traitants indirects) et ceux qui ne le font pas. Le contenu ci-dessous décrit les activités de gestion des risques liés aux tiers de Google Cloud à chaque phase du cycle de vie d'un sous-traitant.

Image de fournisseurs

Gouvernance des risques liés aux tiers

Le programme de gestion des risques liés aux tiers de Google Cloud est régi et géré par l'équipe du responsable de la sécurité des informations (RSSI) du cloud. Il est soutenu par le programme de gestion des risques liés aux tiers de Google, ainsi que par les services d'approvisionnement, de gestion des fournisseurs, de gestion des risques et de conformité, et par les équipes juridiques de l'entreprise pour assurer une gestion appropriée des risques liés aux tiers dans l'ensemble de l'organisation. 


Un organisme de gestion interfonctionnel et de niveau exécutif est en place pour assurer la supervision et la gestion de Google Cloud, y compris les risques liés à des tiers. L'organisme de gestion utilise une tolérance et une appétence au risque définies pour s'assurer que le risque potentiel introduit par les sous-traitants est géré dans des limites acceptables. De plus, des règles et procédures sont en place pour garantir la cohérence et la rigueur de l'évaluation, du suivi et de la gestion des risques liés aux tiers par Google Cloud.

Cycle de vie de la gestion des risques liés aux tiers de Google Cloud

Planification

Avant de faire appel à un tiers, le programme de gestion des risques tiers Google Cloud exige qu'une évaluation soit effectuée afin de classer le tiers et de déterminer le niveau de risque que présente le service tiers. Le niveau de risque permet de définir les exigences en matière de diligence raisonnable, de contrat et d'intégration, ainsi que de surveillance continue. À ce stade, le risque global de concentration est évalué pour déterminer l'impact de l'intégration d'un nouveau sous-traitant à Google Cloud.

Image de planification
Image de diligence raisonnable

Diligence raisonnable

Le programme de gestion des risques liés aux tiers de Google Cloud est conçu pour couvrir un large éventail de domaines à risques, y compris la sécurité des informations, la confidentialité, la gestion des incidents, la continuité des activités, la conformité réglementaire, la stabilité financière, le risque lié à l'emplacement, la capacité opérationnelle, entre autres. Pour gérer efficacement ces risques, Google Cloud fait appel à des experts internes qui fournissent des insights spécialisés et développent des stratégies de gestion et d'atténuation des risques sur mesure. Grâce à cette expertise, Google Cloud peut identifier, évaluer et atténuer les risques potentiels de manière proactive dans le cadre de ses relations avec des tiers. 

Mener une diligence raisonnable avec résultats satisfaisants est essentiel avant d'intégrer et de démarrer un service. Les sous-traitants sont réévalués chaque année, et les problèmes identifiés sont suivis, gérés et résolus à l'aide d'un processus centralisé de gestion des problèmes. Une fois la diligence raisonnable terminée, les résultats sont regroupés et partagés avec la direction de Google Cloud. 

Sous-traitance

Les équipes Google Cloud qui intègrent des sous-traitants suivent des processus définis pour signer des contrats appropriés avec les sous-traitants avant le début des services. Ces contrats répondent aux exigences strictes de Google Cloud en matière de sécurité, de confidentialité et de conformité, ainsi qu'à nos obligations envers les clients concernant les sous-traitants. 

Les contrats définissent les engagements de niveau de service, les KPI ou d'autres métriques de performances, et des stratégies de performances sont élaborées pour les sous-traitants afin de garantir que le suivi des performances est effectué de manière continue.

Intégration

Une fois la diligence raisonnable terminée, Google informera les clients, dans les délais convenus contractuellement, de la nomination d'un nouveau sous-traitant indirect. 

Par exemple, Google Cloud informe tous ses clients au moins 30 jours avant qu'un nouveau sous-traitant indirect commence à traiter leurs données. 

Le service sous-traité ne peut commencer et, dans le cas des sous-traitants indirects, l'accès aux données client ne peut être provisionné qu'après la période de notification applicable.

Surveillance continue

Une fois les sous-traitants indirects intégrés, ils sont surveillés en continu par les équipes Google Cloud concernées sur divers aspects liés aux performances et à la gestion des risques. Les performances sont gérées de manière formelle, au moins une fois par trimestre, à l'aide d'indicateurs clés de performance (KPI) définis et de réunions concernant les rapports trimestriels d'activité (RTA). 

Les évaluations des risques (semblables aux évaluations de diligence raisonnable) sont effectuées une fois par an. Toutefois, les sous-traitants indirects sont contrôlés en continu afin de détecter d'éventuels changements dans leur stratégie de gestion des risques qui pourraient justifier une évaluation plus approfondie. 

Si le type de service ou l'emplacement d'un sous-traitant indirect existant change, Google Cloud informe les clients dans les délais convenus contractuellement. 

Tout incident identifié par Google Cloud lors de la surveillance est suivi, géré et résolu via un programme central de gestion des incidents qui réunit une équipe pluridisciplinaire d'experts chargée d'assurer l'investigation, la résolution et la communication proactive dans des délais appropriés. Pour en savoir plus, consultez le processus de réponse aux incidents liés aux données de Google Cloud.


Processus Google Cloud de réponse aux incidents liés aux données
Image de surveillance
Image de contrat résilié

Résiliation

La résiliation planifiée des contrats avec les sous-traitants est gérée à l'aide de plans de sortie élaborés lors de l'intégration et conçus pour garantir qu'aucun impact négatif n'affecte la fourniture des services par Google Cloud.

Comment Google Cloud assure la continuité du service

Google Cloud comprend l'importance de la continuité des services pour la réussite de ses clients et dispose des contrôles internes complets permettant de la préserver.

Google Cloud évalue régulièrement le programme de continuité des opérations de ses sous-traitants afin d'identifier les risques potentiels et de développer des stratégies pour en atténuer l'impact. Les performances des sous-traitants établies dans les contrats font l'objet d'un suivi régulier afin de maintenir la qualité du service conformément aux indicateurs clés de performance (KPI) définis.



En cas de circonstances imprévues nécessitant que Google Cloud transfère un service d'un sous-traitant, des plans de sortie éprouvés sont mis en place pour garantir une transition fluide sans interruption de service.

Comment Google Cloud protège les données des clients

Les données client sont vos données, pas celles de Google. Nous ne traitons les données client que conformément à vos instructions, et ne déterminons ni les finalités ni les moyens essentiels de ce traitement. Par conséquent, nous agissons en tant que sous-traitant des données client, et non en tant que responsable du traitement ou responsable conjoint du traitement.

Google fait appel à des sous-traitants indirects pour effectuer des activités limitées en lien avec les services Google Cloud, telles que les services d'assistance technique. Conformément à l'Avenant relatif au traitement des données dans le cloud, Google s'engage auprès de ses clients à ce que ses accords écrits avec les sous-traitants indirects incluent certaines protections. Google s'assurera par le biais de cet accord que les points suivants sont respectés :



  

  1. Le sous-traitant indirect accède aux données client et les utilise uniquement dans la mesure où ses obligations contractuelles l'exigent. 
  2. Le sous-traitant indirect traite ces données conformément à l'accord écrit conclu avec Google. 
  3. Si la loi applicable l'exige, le sous-traitant indirect est tenu de respecter les obligations de protection des données pertinentes (telles que décrites dans l'Avenant relatif au traitement des données dans le cloud).
Avenant relatif au traitement des données dans le cloud

Google effectue un audit des pratiques du sous-traitant indirect en matière de sécurité et de confidentialité afin de s'assurer qu'il fournit en la matière un niveau adapté à son accès aux données et au champ d'application des services qu'il est chargé de fournir. 

Une fois que Google a évalué les risques présentés par le sous-traitant, celui-ci est tenu d'accepter les conditions contractuelles appropriées en termes de sécurité, de confidentialité et de vie privée. En particulier, Google s'assurera, par le biais du contrat, que le sous-traitant indirect n'accède aux données client que dans la mesure où cela est nécessaire à l'exercice de son activité limitée, et que tout accès est conforme aux conditions de protection des données de Google Cloud. 

Pour en savoir plus sur les offres de Google Cloud concernant la confidentialité, consultez le centre de ressources pour la confidentialité.

Centre de ressources pour la confidentialité
Image de verrou

Passez à l'étape suivante

Pour en savoir plus sur les sous-traitants, veuillez vous adresser à votre responsable de compte ou nous contacter.

Essai gratuit
Google Cloud
DocumentationAssistance
Console
Se connecter
Commencez l'essai gratuit.
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud