Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cloud Computing : “As Good as It Gets”

avril 2010 par Emmanuelle Lamandé

L’utilisation du Cloud Computing apparaît aujourd’hui inévitable, mais, nous l’aurons tous compris, n’est pas sans risques. A l’heure actuelle, il est impossible de réduire le risque de sécurité à néant, alors nous n’avons d’autre choix que de le limiter autant que faire ce peut, notamment en bétonnant les contrats. Retour sur les points de vigilance et principales recommandations à l’occasion de la dernière conférence du Clusif.

Les menaces pesant sur le Cloud Computing sont nombreuses, mais ne s’éloignent pas réellement des menaces traditionnelles. Toutefois, d’autres points de vigilance sont à prendre en compte, d’autant plus qu’il n’existe pas encore de standards dans ce domaine, ni de bonnes pratiques généralisées.

Stéphane Duproz, Responsable de l’Espace Méthodes - TelecityGroup France, recommande aux responsables informatiques de se demander à quel niveau l’adoption de services de Cloud Computing a le plus de sens dans leur organisation, mais aussi s’il est possible d’expérimenter ces services sans impact sur la production. Le projet de passage au cloud doit être bien compris par la direction et le reste de l’entreprise, et nécessite d’auditer tous les matériels et logiciels. Il conseille également de développer une stratégie d’adoption de services au CC, ainsi qu’une feuille de route.

Dans le cloud, la sécurité dépend aussi des contrôles et garanties apportées par des tiers, comme dans l’outsourcing traditionnel. Pour limiter les risques, il conseille d’évaluer les menaces existantes dans le cloud, ainsi que les contrôles mis en place par le fournisseur pour séparer les données des différents utilisateurs du cloud. L’élimination des données doit, en outre, pouvoir se faire correctement dans le cloud.

Pour Blandine Poidevin, Avocate, le Cloud Computing, « c’est le meilleur et le pire. Le meilleur, car tout doit être négocié… le pire, car par rapport à une information éclatée, il est beaucoup plus difficile de retrouver la preuve ».

Concernant le Cloud Computing, le choix du contrat est fondamental. Il faut préférer le contrat négocié (choix du prestataire et négociation des clauses sensibles) au contrat d’adhésion. Il est très important de négocier un certain nombre de clauses sensibles :

 La question des données à caractère personnel : le plus souvent, le responsable du traitement (RT) des données à caractère personnel n’est autre que le client, et le prestataire considéré comme un sous-traitant. Le RT a pour obligation de respecter les principes attachés à la mise en œuvre d’un traitement (en termes de proportionnalité, transparence,…), d’obtenir le consentement de la personne concernée, d’informer la personne de ses droits (droit d’accès par exemple) et de sécuriser les données. Le RT ne pourra jamais totalement se dédouaner de sa responsabilité en termes de sécurité, car il est au moins responsable du choix de son sous-traitant.

 La question de la confidentialité : quelles garanties le prestataire apporte-t-il en termes de confidentialité des données ? Y a-t-il un engagement de non-divulgation ? Que se passe-t-il en cas de défaillance ? Quelle indemnisation ?

 La question de la propriété intellectuelle peut se poser sur l’architecture mise en place, le cryptage des données, ou encore le back-up.

 La question de la responsabilité du prestataire : l’impact d’une défaillance du Cloud Computing sur l’activité du client, la clause limitative de responsabilité du prestataire, la question de l’indemnisation, quid de la restitution ou suppression des données en cas de résiliation de contrat.

Il faut, en outre, prévoir les conséquences d’un changement éventuel de contrôle de prestataire, ou de sous-traitance du sous-traitant.

Les experts sont unanimes, il n’existe pas aujourd’hui de vraies réponses en termes de sécurité, juste des facteurs de réduction du risque. Pour Jean-Marc Grémy, Consultant en Sécurité des Systèmes d’Information - Cabestan Consultants, l’industrie de la sécurité doit se réinventer. « Plus on progresse dans le cloud, plus on s’éloigne de la sécurité telle qu’on la connait » souligne Antoine Bajolet, Délégué à la Sécurité des Systèmes d’Information - TDF. « L’industrie et les pouvoirs publics doivent travailler de concert pour trouver des solutions, car de toute façon, le cloud est inévitable. Qu’on y soit réfractaire ou non, tout le monde devra aller en ce sens ».


Voir les articles précédents

    

Voir les articles suivants