Sécurité du cloud computing : que pouvez-vous exiger de votre prestataire ?

Dans la jungle des prestataires de cloud, les acheteurs et la DSI naviguent souvent en eaux troubles. Difficile, pour eux, de séparer le bon grain de l'ivraie et d'être sûrs d'avoir fait le bon choix. À noter que certains fournisseurs eux-mêmes entretiennent, parfois, le mystère en ne divulguant pas facilement les informations si l'entreprise n'en fait pas, au préalable, la demande. Par ailleurs, et comme l'explique Patrick Chabannes, expert en SI achats et auteur du blog La Gazette de Cyrenac, à cela s'ajoute un problème de compréhension générale: "On mélange encore souvent des modèles économiques (consommation SaaS, facturation à l'usage) avec des modèles techniques (cloud)." Or, aujourd'hui, le cloud computing, en remettant en question les modèles économiques et les logiques d'investissement de l'IT, est devenu l'affaire du DSI, mais également du DAF et du DA.

Une analyse des risques en amont

Où sont situées les données? Comment est assurée la sécurisation physique du lieu? Y a-t-il bien une redondance des données sauvegardées en cas d'incendie? Quelles garanties proposent les prestataires quant à la réversibilité des données? Autant de questions que devront se poser les différentes parties prenantes (acheteurs, DSI et juristes), afin de limiter l'exposition aux risques.

L'entreprise doit donc commencer sa démarche par une analyse approfondie. "Décider de mettre des applications ou des données dans le cloud doit résulter d'une analyse des risques préalable en se basant sur des références et des méthodologies fournies par les responsables de sécurité de façon à prendre les bonnes décisions et savoir ce que l'entreprise va pouvoir mettre dans le cloud, et sous quelles conditions", conseille Jean-Christophe Touvet, manager risk & security chez Devoteam, société de conseil spécialisée en IT. Une démarche qui devrait, selon lui, devenir systématique. Il ajoute, par ailleurs, que ses clients demandent de plus en plus aux fournisseurs de cloud un plan d'assurance sécurité (PAS) pour qu'ils s'engagent sur la sécurité, avec des pénalités à la clé.

La localisation des données

"La particularité du cloud, c'est que les données sont localisées sur différentes plateformes dans le monde. L'enjeu, pour l'entreprise, est donc de bien veiller, de manière contractuelle, à pouvoir récupérer toutes ses données, intègres et complètes", explique Maître Claudia Weber, avocate associée fondatrice du cabinet Itlaw Avocats, spécialisé dans les domaines du droit de l'informatique, des télécoms, de l'Internet et de la propriété intellectuelle.

Néanmoins, en tant que responsable de ses données, le client doit savoir où elles se trouvent lors de la signature du contrat. La plupart des services cloud/SaaS sont hébergés en France ou en Europe, lorsqu'ils émanent d'entreprises françaises. L'acheteur IT doit également savoir si le prestataire possède ses propres serveurs/data centers ou s'il fait appel à un hébergeur spécialisé.

La société française Numergy, par exemple, fondée en 2012 par SFR et Bull dans le cadre du projet Andromède de cloud souverain français, propose aux entreprises des ressources informatiques à la demande (puissance de calcul, réseau et stockage). "Nos quatre data centers, explique Amaury de Baynast, directeur marketing et communication, se trouvent en France (Trappes, Vénissieux, Courbevoie et Pantin). En cas de problème, le client sait à quelle législation sont soumises les données qui ont été confiées à un tiers." Car, dans certains pays comme les États-Unis ou la Chine, les exigences et respect des données d'autrui diffèrent quelque peu. Numergy a, d'ailleurs, mené une enquête, en novembre dernier, auprès de 700 DSI et, pour plus de la moitié d'entre eux, la localisation des données sur le territoire français est indispensable.

De son côté, Microsoft France, qui propose différentes offres cloud (virtualisation et cloud privé, cloud public et cloud hybride), explique que ses deux data centers en Europe se trouvent à Dublin et Amsterdam. "Lorsqu'un client confie ses données à Microsoft, explique Marc Gardette, responsable de la stratégie cloud au sein de la direction technique et sécurité de Microsoft France, il va pourvoir choisir l'endroit. Microsoft lui garantira que ses données restent bien dans la région." Microsoft est, d'ailleurs, le premier fournisseur de services cloud à avoir obtenu la qualification de la norme ISO 27018 sur la protection des données personnelles dans le cloud. "Nous sommes transparents sur la localisation du stockage des données des clients, sur la finalité de traitement et sur les sous-traitants de Microsoft. En cas de changement de sous-traitant, nous prévenons le client, qui a le droit de résilier son service sans pénalités", poursuit-il.

LIRE LA SUITE EN PAGE 2 : "La réversibilité des données" et "Cybersécurité"

La réversibilité des données

Pour aider les directions achats et les DSI à pondérer leurs risques et savoir ce qu'il faut ou non stocker dans le cloud, la société Devoteam propose des grilles de lecture qu'elle adapte aux enjeux de l'entreprise. La localisation des données en fait partie. "Pour certaines applications ou données, l'enjeu de la localisation n'a aucune importance, car ce ne sont ni des informations personnelles ni des informations stratégiques." Autre point crucial: prévoir un plan de réversibilité pour la récupération des données. Le problème: ce mot ne signifie pas la même chose pour tous les prestataires. Acheteurs, DSI et juristes doivent donc bien veiller à cadrer les choses en amont de manière contractuelle. "Le risque de ne pas pouvoir récupérer les données existe, prévient Maître Weber. Les parties prenantes ont tout intérêt à lever ce risque avant de s'engager que ce soit en interdisant toute condition, y compris financière, à la récupération des données ou en s'assurant de la lisibilité et de l'exhaustivité des données récupérées."

Jean-Christophe Touvet (Devoteam), interpelle les acheteurs sur un autre point: la qualité des données récupérées. "Il faut faire attention à tester la réversibilité, car on peut récupérer des données absolument inexploitables avec des pertes de méta-informations critiques indispensables au fonctionnement de l'application." Donc, en plus de s'assurer de la réversibilité au niveau contractuel, il faut aussi s'en assurer d'un point de vue technique.

Cybersécurité

Face au professionnalisme grandissant des hackers, la cybersécurité s'est érigée en priorité numéro un dans les entreprises dont les données stockées ont un caractère sensible. Pourtant, comme le souligne le président France de BSA | The Software Alliance et directeur conformité chez Microsoft France, François Rey, "un responsable informatique sur deux estime que, dans son parc informatique, toutes les licences ne sont pas conformes".

Par ailleurs, 27% des employés installent leurs propres logiciels sur les PC, ce qui fait un taux de logiciels piratés de 20%. "On alerte les entreprises sur le fait de mettre en place des procédures formelles. Uniquement un tiers d'entre elles l'ont fait pour l'utilisation de logiciels conformes." C'est peu. Pour limiter les risques de dégradation du service - ralentissement, compromission ou encore vol de données -, les prestataires se dotent, de plus en plus, de centres de surveillance dédiés au dépistage des attaques.

Numergy a, par exemple, inauguré l'an dernier son "Security operation center", basé dans l'ouest parisien (adresse tenue secrète) et à pied d'oeuvre 24 h/24 pour analyser et détecter tout ce qu'il se passe dans les différents data centers. "Avec des outils de big data, nous sommes capables d'anticiper des comportements anormaux", explique Amaury de Baynast, directeur marketing et communication (Numergy). Microsoft mise, quant à lui, sur son "Microsoft response center", qui réagit très vite en cas d'attaque. "Les data centers et Microsoft, en général, sont parmi les plus attaqués au monde, explique Marc Gardette. Les moyens que nous mettons en oeuvre pour protéger physiquement data centers, réseaux, serveurs et données des clients sont colossaux. Nous cryptons, par exemple, les données des clients lorsqu'elles sont stockées sur notre data center."

Trois questions à... Maître Weber, avocate associée fondatrice du cabinet Itlaw Avocats, spécialisé dans les domaines du droit de l'informatique, des télécoms, de l'Internet et de la propriété intellectuelle

"Un contrat bien négocié est un contrat dont les attentes et limites de chacun sont bien comprises de part et d'autre"

Quels points faut-il anticiper dans le contrat?

Les clauses de niveau de qualité de services (SLA) associées à des pénalités, la réversibilité des données et le fait qu'il n'y ait pas d'ambiguïté sur une possible rétention de données, qui doit être libre et gratuite. Autre point capital: la garantie de conformité à la loi informatique et libertés. Nombre de prestataires cloud expliquent aux acheteurs que leurs données peuvent être hébergées n'importe où dans le monde et que cela serait la raison pour laquelle ils leur proposent des prix très attractifs.

Le meilleur moyen d'optimiser, pour eux, est en effet d'héberger ces données et d'opérer les services associés sur les plateformes les moins coûteuses. Mais le client français doit, lui, pouvoir rendre des comptes, notamment à la Cnil. Cette clause de garantie n'est a priori pas spontanément proposée par les prestataires. Si l'entreprise ne la demande pas, elle ne l'obtiendra ni automatiquement ni aisément. Le risque? Des condamnations pouvant aller jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende, par exemple, si les obligations de sécurité ou de confidentialité des données prévues dans la loi informatique et libertés ne sont pas respectées.

Quid des exigences en matière de sécurité physique?

Il est recommandé de demander des garanties de conformité aux normes professionnelles et sur la bonne gestion de la sécurité logique et physique d'accès aux données (gestion mot de passe, sécurité du data center...) pour assurer la confidentialité et l'intégrité des données.

Il est utile, aussi, de vérifier si le prestataire a prévu une solution de "back up" ou, mieux, un centre de secours, pour basculer en cas de problème, comme un incendie, par exemple, pour rétablir le service dans un délai court.

Quelles recommandations pouvez-vous faire aux acheteurs?

Je pense qu'un contrat bien négocié est un contrat dont les attentes et limites de chacun sont bien comprises de part et d'autre. Lorsque vous préparez vos négociations, il est important de rassembler les trois compétences indispensables: juridique, financière et technique. En effet, lorsque l'une des compétences fait défaut, le contrat risque de manquer d'équilibre, soit juridique, soit financier, soit technique. L'acheteur est souvent focalisé sur le prix, ce qui est normal.

Or, si, pour obtenir de bons prix, la condition est un hébergement de données en Chine ou au Maroc, les enjeux juridiques ou techniques (sécurité, par exemple) risquent de ne pas être pris en compte. Je recommande, donc, d'assurer un travail conjoint entre achats, juridique et informatique et de bien arbitrer les objectifs poursuivis. En effet, le DSI voudra certainement le meilleur niveau de sécurité, par exemple, l'acheteur des prix bas, alors que, juridiquement, il est recommandé d'obtenir une obligation de résultat, un plafond de responsabilité très élevé, des garanties fortes et des sanctions en cas de manquement. En général, le travail contractuel sur un projet cloud prend entre trois à six mois entre le moment où l'entreprise met en place un projet cloud et la signature du contrat associé.