Sécurité du cloud computing : que pouvez-vous exiger de votre prestataire ?
Flexibilité, souplesse de fonctionnement, structure de coût comptable optimisée, coûts de maintenance revus à la baisse... Les atouts du cloud computing sont nombreux. Les principaux écueils demeurent la sécurité, à l'heure où les cyber-risques n'ont jamais été aussi forts.
Je m'abonneDans la jungle des prestataires de cloud, les acheteurs et la DSI naviguent souvent en eaux troubles. Difficile, pour eux, de séparer le bon grain de l'ivraie et d'être sûrs d'avoir fait le bon choix. À noter que certains fournisseurs eux-mêmes entretiennent, parfois, le mystère en ne divulguant pas facilement les informations si l'entreprise n'en fait pas, au préalable, la demande. Par ailleurs, et comme l'explique Patrick Chabannes, expert en SI achats et auteur du blog La Gazette de Cyrenac, à cela s'ajoute un problème de compréhension générale: "On mélange encore souvent des modèles économiques (consommation SaaS, facturation à l'usage) avec des modèles techniques (cloud)." Or, aujourd'hui, le cloud computing, en remettant en question les modèles économiques et les logiques d'investissement de l'IT, est devenu l'affaire du DSI, mais également du DAF et du DA.
Une analyse des risques en amont
Où sont situées les données? Comment est assurée la sécurisation physique du lieu? Y a-t-il bien une redondance des données sauvegardées en cas d'incendie? Quelles garanties proposent les prestataires quant à la réversibilité des données? Autant de questions que devront se poser les différentes parties prenantes (acheteurs, DSI et juristes), afin de limiter l'exposition aux risques.
L'entreprise doit donc commencer sa démarche par une analyse approfondie. "Décider de mettre des applications ou des données dans le cloud doit résulter d'une analyse des risques préalable en se basant sur des références et des méthodologies fournies par les responsables de sécurité de façon à prendre les bonnes décisions et savoir ce que l'entreprise va pouvoir mettre dans le cloud, et sous quelles conditions", conseille Jean-Christophe Touvet, manager risk & security chez Devoteam, société de conseil spécialisée en IT. Une démarche qui devrait, selon lui, devenir systématique. Il ajoute, par ailleurs, que ses clients demandent de plus en plus aux fournisseurs de cloud un plan d'assurance sécurité (PAS) pour qu'ils s'engagent sur la sécurité, avec des pénalités à la clé.
La localisation des données
"La particularité du cloud, c'est que les données sont localisées sur différentes plateformes dans le monde. L'enjeu, pour l'entreprise, est donc de bien veiller, de manière contractuelle, à pouvoir récupérer toutes ses données, intègres et complètes", explique Maître Claudia Weber, avocate associée fondatrice du cabinet Itlaw Avocats, spécialisé dans les domaines du droit de l'informatique, des télécoms, de l'Internet et de la propriété intellectuelle.
Néanmoins, en tant que responsable de ses données, le client doit savoir où elles se trouvent lors de la signature du contrat. La plupart des services cloud/SaaS sont hébergés en France ou en Europe, lorsqu'ils émanent d'entreprises françaises. L'acheteur IT doit également savoir si le prestataire possède ses propres serveurs/data centers ou s'il fait appel à un hébergeur spécialisé.
La société française Numergy, par exemple, fondée en 2012 par SFR et Bull dans le cadre du projet Andromède de cloud souverain français, propose aux entreprises des ressources informatiques à la demande (puissance de calcul, réseau et stockage). "Nos quatre data centers, explique Amaury de Baynast, directeur marketing et communication, se trouvent en France (Trappes, Vénissieux, Courbevoie et Pantin). En cas de problème, le client sait à quelle législation sont soumises les données qui ont été confiées à un tiers." Car, dans certains pays comme les États-Unis ou la Chine, les exigences et respect des données d'autrui diffèrent quelque peu. Numergy a, d'ailleurs, mené une enquête, en novembre dernier, auprès de 700 DSI et, pour plus de la moitié d'entre eux, la localisation des données sur le territoire français est indispensable.
De son côté, Microsoft France, qui propose différentes offres cloud (virtualisation et cloud privé, cloud public et cloud hybride), explique que ses deux data centers en Europe se trouvent à Dublin et Amsterdam. "Lorsqu'un client confie ses données à Microsoft, explique Marc Gardette, responsable de la stratégie cloud au sein de la direction technique et sécurité de Microsoft France, il va pourvoir choisir l'endroit. Microsoft lui garantira que ses données restent bien dans la région." Microsoft est, d'ailleurs, le premier fournisseur de services cloud à avoir obtenu la qualification de la norme ISO 27018 sur la protection des données personnelles dans le cloud. "Nous sommes transparents sur la localisation du stockage des données des clients, sur la finalité de traitement et sur les sous-traitants de Microsoft. En cas de changement de sous-traitant, nous prévenons le client, qui a le droit de résilier son service sans pénalités", poursuit-il.
Lire aussi : Compliance et achats responsables - Comment naviguer entre réglementation et création de valeur ?
LIRE LA SUITE EN PAGE 2 : "La réversibilité des données" et "Cybersécurité"
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles
La rédaction vous recommande