Sécurité du cloud computing : que pouvez-vous exiger de votre prestataire ?

La réversibilité des données

Pour aider les directions achats et les DSI à pondérer leurs risques et savoir ce qu'il faut ou non stocker dans le cloud, la société Devoteam propose des grilles de lecture qu'elle adapte aux enjeux de l'entreprise. La localisation des données en fait partie. "Pour certaines applications ou données, l'enjeu de la localisation n'a aucune importance, car ce ne sont ni des informations personnelles ni des informations stratégiques." Autre point crucial: prévoir un plan de réversibilité pour la récupération des données. Le problème: ce mot ne signifie pas la même chose pour tous les prestataires. Acheteurs, DSI et juristes doivent donc bien veiller à cadrer les choses en amont de manière contractuelle. "Le risque de ne pas pouvoir récupérer les données existe, prévient Maître Weber. Les parties prenantes ont tout intérêt à lever ce risque avant de s'engager que ce soit en interdisant toute condition, y compris financière, à la récupération des données ou en s'assurant de la lisibilité et de l'exhaustivité des données récupérées."

Jean-Christophe Touvet (Devoteam), interpelle les acheteurs sur un autre point: la qualité des données récupérées. "Il faut faire attention à tester la réversibilité, car on peut récupérer des données absolument inexploitables avec des pertes de méta-informations critiques indispensables au fonctionnement de l'application." Donc, en plus de s'assurer de la réversibilité au niveau contractuel, il faut aussi s'en assurer d'un point de vue technique.

Cybersécurité

Face au professionnalisme grandissant des hackers, la cybersécurité s'est érigée en priorité numéro un dans les entreprises dont les données stockées ont un caractère sensible. Pourtant, comme le souligne le président France de BSA | The Software Alliance et directeur conformité chez Microsoft France, François Rey, "un responsable informatique sur deux estime que, dans son parc informatique, toutes les licences ne sont pas conformes".

Par ailleurs, 27% des employés installent leurs propres logiciels sur les PC, ce qui fait un taux de logiciels piratés de 20%. "On alerte les entreprises sur le fait de mettre en place des procédures formelles. Uniquement un tiers d'entre elles l'ont fait pour l'utilisation de logiciels conformes." C'est peu. Pour limiter les risques de dégradation du service - ralentissement, compromission ou encore vol de données -, les prestataires se dotent, de plus en plus, de centres de surveillance dédiés au dépistage des attaques.

Numergy a, par exemple, inauguré l'an dernier son "Security operation center", basé dans l'ouest parisien (adresse tenue secrète) et à pied d'oeuvre 24 h/24 pour analyser et détecter tout ce qu'il se passe dans les différents data centers. "Avec des outils de big data, nous sommes capables d'anticiper des comportements anormaux", explique Amaury de Baynast, directeur marketing et communication (Numergy). Microsoft mise, quant à lui, sur son "Microsoft response center", qui réagit très vite en cas d'attaque. "Les data centers et Microsoft, en général, sont parmi les plus attaqués au monde, explique Marc Gardette. Les moyens que nous mettons en oeuvre pour protéger physiquement data centers, réseaux, serveurs et données des clients sont colossaux. Nous cryptons, par exemple, les données des clients lorsqu'elles sont stockées sur notre data center."