A lire sur: http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203261478076-cloud-deuxieme-generation-les-astuces-pour-bien-piloter-dans-le-nuage-646306.php
Par Laurence Neuer | 29/01 | 06:00 | mis à jour à 11:47
Le cloud peut présenter des niveaux de sécurité supérieurs à ceux garantis par certaines PME.
Par Laurence Neuer | 29/01 | 06:00 | mis à jour à 11:47
Le cloud peut présenter des niveaux de sécurité supérieurs à ceux garantis par certaines PME.
Mais il génère aussi de nouveaux risques, notamment en termes de pérennité des données.
Le scandale PRISM a une vertu : il a fait redescendre de son nuage la confiance débridée des adeptes du cloud. Et ce retour à la réalité s’avère salutaire pour les entreprises qui souhaitent recourir à ces services mutualisés d’informatique.
Nombre d’entre elles ont compris qu’elles n’avaient pas forcément intérêt à mettre toutes leurs données « dans le même cloud » ou qu’elles devaient prendre en compte certaines contraintes réglementaires. De leur côté, les prestataires jouent sur l’implantation de leurs serveurs dans des zones juridiquement protégées pour monnayer leurs prestations. Si, comme le note la CNIL dans ses « recommandations » aux entreprises, « les offres de cloud peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les PME, le cloud génère de nouveaux risques, notamment au niveau de la pérennité des données ». Comment façonner son contrat au plus près de ses besoins et objectifs ? Comment faire face aux enjeux de confidentialité et de sécurité des données ? Eclairage.
Eplucher les offres
Une étude publiée par le cabinet Gartner en août 2013 révèle que 80 % des utilisateurs de services cloud trouvent leur contrat trop vague. C’est l’effet « standardisation » des offres, formalisées dans des contrats d’adhésion. Résultat : « Beaucoup d’entreprises découvrent après coup qu’elles ont acheté un service ne prenant pas en compte leurs spécificités, par exemple, le format de traitement de leurs données ou les autres applications de leur système d’information. Des interfaces entre le système d’information et le service cloud devront donc être développées par un prestataire extérieur avec les coûts additionnels qui s’y greffent », note Rémy Bricard, avocat associé du cabinet Baker & McKenzie. D’où l’importance d’éplucher les offres et d’en préciser les non-dits avant de s’engager.
La rigidité des contrats a une conséquence directe sur le partage des responsabilités. Plus le prestataire est autonome dans la réalisation de sa prestation, plus il en supportera les risques, a fortiori s’il sort de son rôle en modifiant la finalité des traitements. « Un prestataire qui traiterait des données pour d’autres finalités que celles déterminées par son client (publicité ciblée, par exemple) outrepasserait les instructions de ce dernier s’il ne l’en informe pas et n’obtient pas son autorisation préalable. S’il l’obtient, il sera alors responsable du traitement qu’il met en œuvre pour une finalité distincte de celle du traitement du client. Dans une telle situation, le client et le prestataire seront chacun responsables des traitements qu’ils effectuent », analyse la CNIL. Avec les contrats de deuxième génération, la marge de négociation de prestations « sur mesure » gagne du terrain. Reste à cibler les points les plus sensibles.
Localiser les serveurs
Qui a accès aux données ? Celles-ci sont-elles à l’abri des vols ? Les enjeux sont de taille. « Les prestataires de cloud pourraient se retrouver dans la situation des banques du siècle dernier. Comme elles, qui étaient attaquées parce que “c’est là que se trouve l’argent” pour reprendre l’expression d’un gangster fameux, les prestataires de cloud vont être visés, car c’est sur les données personnelles que les attaques vont désormais se concentrer », augure Me Bricard. D’où les deux réflexes préalables à toute démarche de cloud : trier ses données par ordre d’importance et de « sensibilité » et identifier les risques afférents. Encore faut-il, ensuite, s’assurer que la confidentialité et la sécurité seront assurées pendant la durée du contrat. Le sérieux et la réputation du prestataire ne suffisent pas. Autrement dit, souligne Me Bricard, « on ne peut pas accorder sa confiance sur une simple promesse. L’audit du prestataire par un tiers de confiance et le cryptage des données les plus sensibles vont devenir des garde-fous indispensables. »
L’objectif est de lever le voile sur l’arrière-cour du prestataire : a-t-il la maîtrise complète de l’infrastructure ou s’appuie-t-il sur une colonie de sous-traitants ? Quel processus d’accréditation utilise-t-il à l’égard des personnes qui ont accès aux données ? Les données les plus sensibles ont-elles bien été isolées ? etc. L’exemple Snowden a largement mis en lumière le danger d’éclater l’accès aux données entre plusieurs personnes de « confiance ».
Le contrat doit par ailleurs obliger le prestataire à déclarer ses sous-traitants et à préciser leur situation géographique. En effet, les données conservées dans le cloud sont souvent transférées d’un pays vers l’autre selon les capacités de stockage des serveurs dédiés. Or « une entreprise française a l’interdiction d’exporter les données vers un pays qui n’offre pas un niveau de protection équivalent aux normes européennes, sauf à mettre en place un accord spécifique avec le prestataire concerné », prévient Me Bricard. Le contrat doit donc lui permettre de refuser tel ou tel sous-traitant.
Récupérer les données
Faire le pari du cloud, c’est aussi répondre par la positive à la question : mon prestataire sera-t-il toujours là dans deux, cinq ou dix ans ? Que faire s’il a disparu, si ses serveurs ont été endommagés ou si, comme cela est arrivé à l’UMP il y a deux ans, un « bug » empêche la récupération des données ? A l’époque, le tribunal saisi en référé avait enjoint au prestataire (Oracle) de fournir à son client les moyens techniques nécessaires à l’exportation des données nominatives hébergées ou à défaut de lui garantir la prolongation de l’accès au service pour lui permettre d’effectuer cette récupération. Autre point à prévoir : la réversibilité, scénario qui sous-tend un conflit avec le prestataire. Dans un tel cas, l’entreprise doit se réserver la possibilité de basculer les données vers un autre hébergeur . « Elle doit, dans la mesure du possible, prévoir les modalités de la réversibilité, son coût financier et celui qui en aura la charge. En cas de défaillance du prestataire, ce doit être à lui d’en supporter le coût. Pour prévenir les risques techniques, il est utile de prévoir un test annuel sur une partie des données », conseille l’avocate Garance Mathias.
Aucun commentaire:
Enregistrer un commentaire