Cloud : et la protection des donnees ?
Protection des données : tous les Cloud ne se valent pas
Analyse : Si les fournisseurs de Cloud parlent volontiers de réduction de coûts et d’agilité, ils font en revanche souvent passer la protection des données au second plan. Aux métiers et directions générales de rester vigilantes et d’exiger des clauses contractuelles, leur rappelle un guide pratique cosigné par le Cigref.
Cloud privé, public, IaaS, SaaS… Ces différents modèles de services informatiques sont regroupés derrière une seule dénomination : Cloud Computing. Mais cette simplification au niveau de la terminologie ne doit pas faire oublier les différences de ces architectures, notamment au regard de la protection des données et des obligations réglementaires.
Rappeler ces différences, c’est un des objectifs du guide pratique conçu par le Cigref, l’AFAI (association française d’audit et de conseil informatiques) et l’IFACI (institut de l’audit interne) sur la protection des données dans le Cloud. Guide qui se destine aux directions générales et aux métiers, parfois tentés de s’affranchir de la DSI lors de leurs choix technologiques.
Pas de données stratégiques dans un Cloud public
Au risque d’oublier de prendre en compte certains aspects d’un projet Cloud, comme donc celui de la protection des données, qu’elles soient sensibles (données personnelles), stratégiques ou d’une autre autre. Or, le guide pratique rappelle notamment, qu’en fonction de la typologie de données, tous les Cloud ne sont pas bons.
Transférer des données stratégiques et/ou personnelles vers un service Cloud externe et ouvert (SaaS et Cloud public) est ainsi considéré par le guide comme un usage inadapté, préconisant à la place de s’en tenir à une infrastructure interne et privée.
Car pour les auteurs de ce guide pratique, ces systèmes externes sont bien souvent répartis « dans des datacenters implantés dans différents pays, rendant peu prédictibles la localisation des données de l’utilisateur, ce qui peut être rédhibitoire pour la gestion de données dont la géolocalisation est primordiale (par exemple les données à caractères personnel d’une entreprise). »
Avant de souscrire une offre, métiers et directions générales ne peuvent faire l’impasse sur au moins 6 questions majeures, dont la nature des données et traitements susceptibles de migrer vers le Cloud, les risques à maîtriser (perte de maîtrise des traitements, dépendance technologique, indisponibilité…) ou encore les conséquences sur la politique de sécurité interne.
Négocier des clauses… dans des contrats souvent déséquilibrés
L’objectif de ce travail en amont est par exemple d’évaluer précisément la capacité du prestataire à « apporter des garanties suffisantes notamment sur les mesures de sécurité et de confidentialité appropriés. »
Mais réfléchir en amont son projet Cloud n’est pas une garantie suffisante. L’entreprise doit également intégrer la protection des données dans le contrat conclu avec le fournisseur. « Il est primordial d’intégrer dans les clauses contractuelles des obligations fortes en matière de disponibilité, d’intégrité, de confidentialité, d’audit et de conformité exigées par l’entreprise, ses clients et les régulateurs » stipule le guide coproduit par le Cigref.
Bon courage. Car insérer de telles clauses n’est pas toujours une option envisageable et les conditions contractuelles (à prendre ou à laisser) de ces prestations s’avèrent encore souvent rigides et peu protectrices, comme en a déjà fait état Gartner, notamment au sujet du IaaS.
« Le point d’équilibre des négociations entre les clients et les prestataires ne s’est pas encore complètement déplacé au milieu de l’écran et les contrats sont encore très standards, très peu négociés et très déséquilibrés » relevait d’ailleurs l’avocat Thierry Dor à l’occasion d’une conférence de l’EBG consacrée au Cloud.
Négocier avec les pieds si nécessaire
Dans les négociations de contrat, certains points s’avèrent pourtant urticants. « Il n’est par exemple pas possible de faire de tests d’intrusion sur un système SaaS. On ne peut pas systématiquement auditer. Et cela, c’est gênant lorsqu’on a des contraintes SOX » soulignait par exemple le DSI de Manpower, Didier, Roy, lors de cette même conférence (désormais DSI de Foncia).
Faute de marges de manoeuvre en matière de négociation, les entreprises devront se rapporter à leur analyse de risques pour trancher – menée en amont – et éventuellement écarter un prestataire, ce qui n’est pas toujours un choix aisé, en particulier quand un acteur écrase la concurrence sur un marché donné.
« Ce n’est pas parce qu’on est un petit client et qu’on a un petit ou moyen projet que l’on a pas le droit, sur des clauses importantes, de négocier son contrat. Et lorsqu’il n’est pas possible de négocier avec la main, on peut toujours le faire avec les pieds en allant voir ailleurs » défend néanmoins Thierry Dor.
source : www.zdnet.fr/