En introduction François Coupez Avocat du Cabinet Caprioli & Associés a traité du sujet de l’appréciation des risques dans la sélection d’un prestataire dans le SaaS. Selon lui, le Cloud pour le grand public est encore mal connu, même si le terme semble être passé dans le langage courant. Il a rappelé que le Cloud Computing est en premier lieu rien de moins qu’une forme d’externalisation. Pour le Syntec, il s’agit de la mutualisation et du paiement à l’usage. En France, une définition a été publiée au Journal Officiel dans laquelle on précise que le Cloud concerne le traitement des données accessible par internet et un service de prestataires, par contre, le fonctionnement est inconnu et le lieu est inconnu.

Pour la CNIL il s’agit d’une forme évoluée de l’externalisation dans laquelle un sous-traitant a en charge l’administration et la gestion. Pour la Commission Européenne, il s’agit du stockage des données à l’aide d’ordinateurs distants et un accès internet.

Il a rappelé rapidement les quatre type de de Cloud privés, communautaire, public et hybride. On remarque une normalisation rapide du Cloud avec des travaux sur l’ISO et plus de 20 textes application dont 3 volets juridiques différents, a-t-il rappelé. Toutefois, le Cloud n’est pas réellement une nouveauté, ni une révolution, mais s’est une simple appréciation des risques différents. Aujourd’hui, il y a déjà eu des problèmes de pertes de données avérés. Les principaux problèmes sont aussi les conditions contractuelles, la réversibilité… et dans ce cadre le partenariat européen joue un rôle stratégique.

François Coupez, a expliqué que le passage au Cloud nécessitait de devoir se poser de multiples questions : quelles données externaliser, quel type de Cloud, quels prestataires, dans quels sites physiques se trouvent les données, mais aussi où sont-elles traitées, quelles mesures de sécurité sont mises en œuvre… Il faut aussi sans cesse sensibiliser les utilisateurs en particulier les métiers qui passent les contrats en by-passant les achats et la DSI. Il a recommandé de prendre l’exemple du secteur financier. Le Cloud soulève aussi des problèmes de propriété intellectuelle (licences logiciels), mais aussi pour les données à caractères personnels (lieu d’hébergement, notification des violations de données à caractères personnel…). Bien sûr, le Cloud pose le problème de la confidentialité des données confiées aux prestataires (confidentialité et étanchéité des données traitées). La clause de confidentialité doit être bien définie et sanctionnée par une clause de pénalité suffisante pour couvrir les risques.

Concernant la disponibilité des données, le prestataire doit donner des engagements sur la qualité et les performances de son « Nuage » et des SLA. Souvent la clause de pénalité est sujette à débat entre les deux parties. Bien sûr, la réversibilité doit être bien déterminée à l’avance et il a souligné l’importance des clauses du contrat. Il a donné pour exemple un arrêt du 12 juillet 2012 qui fait aujourd’hui jurisprudence. Cette affaire concernait le cas d’un contrat d’hébergement de la messagerie résiliée avant sa fin suite à des incidents répétés du fait du prestataire. En fait le prestataire répondait aux demandes de son client mais de façon inefficace. Ainsi, le client excédé a résilié le contrat avant son terme. Pourtant, ce dernier a été condamné pour avoir résilié le contrat de façon abusive car son fournisseur avait répondu à ces demandes dans les délais stipulés dans le contrat.

Il a rappelé le cas de MegaUpload qui a pu être arrêté en une seule fois car, les serveurs étaient hébergés aux Etats-Unis dont le gouvernent a fait jouer le Patriot Act. Il a précisé que cette affaire pourrait se répéter ailleurs car des clauses similaires existent quasiment dans tous les pays du monde. Toutefois, François Coupez a souligné que des mesures préventives existent en ajoutant des annexes techniques précises, mais aussi prévoyant ces cas et en obligeant le prestataire à prendre tous les recours possibles en cas de saisie, même si dans le cas MegaUpload, les recours contre le Patriot Act ne pouvaient être efficaces. Il a affirmé que dans ce cadre, la solution de Cloud français devrait permettre de mieux connaitre le cadre juridique. En ce domaine, la CNIL le 25 juin 2012 a émis des recommandations qui visent les PME mais aussi toutes les entreprises en exigeant de pratiquer de faire une analyse du système interne et externe.

Protection des données à caractère personnel et Cloud Computing : le choix du prestataire sera délicat

En matière de Protection des données à caractère personnel, un règlement européen en matière va s’imposer prochainement sans transposition. Il va introduire la notion de responsabilité du prestataire, la notion d’établissement principal et de guichet unique. Les entreprises devront mettre un système de traçabilité à toutes les étapes. En cas de non-respect du règlement, des amende jusqu’à 1 millions d’euros à 2% du CA annuel. D’où l’importance de la réversibilité des données en cas de changement de prestataire.
Il a conclu son intervention qu’être dans un nuage nécessite la combinaison clé entre la technique et le juridique. Il faut une transparence et une coopération entre tous les services : DSI, métiers, juridique…

5 manières d’aborder la Gestion des risques

Julien Lebras, responsable risque et conformité d’HSC a présenté le thème sa table ronde qui était centré sur la mise en place d’un SMSI multi-référentiel. Aujourd’hui, les référentiels de sécurité sont nombreux : PCI DSSI, Bâle 2, Solvency 2, CNIL, RGS… Les débats ont montré l’existence de points communs contraignants à mettre en œuvre. Ainsi, on peut avoir une démarche commune de Management du temps ce qui permet à terme de réduire les coûts de mise en œuvre. La différence porte sur l’approche par les bonnes pratiques et l’appréciation du risque. Des incompatibilités entre les différents référentiels ont été mises en avant. Toutefois, les RSSI ont admis que les référentiels légaux prennent toujours le pas sur ceux qui ne le sont pas. Il a été souligné l’importance de l’audit interne. La notion de financement a été abordé d’où l’intérêt d’un SMSI multi-référentiel mais aussi le fait que les obligations règlementaires était un bon levier pour ce financement. Enfin, des outillages organisationnels existent. Le rêve de tout RSSI est que les métiers conviennent de la nécessité d’implanter un SMSI et le finance…

Benjamin Leroux d’Advens a présenté « le case tête du contrôle au quotidien ». Le contrôle est une étape cruciale mais qui prend du temps surtout dans un contexte de forte pression sur les coûts et d’augmentation des règlementations. Pouvoir rationaliser cette étape est donc devenu essentiel. Un constat de l’ensemble des tables est qu’une des activités du RSSI est le contrôle de la conformité et des standards. Pour qu’il soit le plus efficace et le plus adapté possible, il faut l’outiller et y ajouter des preuves. En fonction de la maturité et des tailles d’entreprise, le contrôle doit être fait par des opérationnelle et le RSSI. Le contrôle doit trouver son sponsor dans les métiers ou s’appuyer sur le besoin règlementaire, soit encore bénéficier de l’engagement de la direction générale. L’apport du contrôle est de permettre au RSSI de « vendre » aux métiers une certaine tranquillité. Il faut donc en avoir une démarche gagnant-gagnant. Il doit être utilisé pour offrir de la visibilité aux équipes informatiques. Le contrôle doit être aussi un guide/un levier pour les investissements car il participe à la sécurité et à la conformité. Il faut donc pour les RSSI garder la foi et communiquer !

Gérôme Billois, responsable du pôle conseil en sécurité & Risk Management de Solucom, a présenté sa table sur le thème de la priorisation des risques afin de faciliter les évolutions des usages, allier protections, aider à la détection et à la réaction face aux nouvelles menaces… Sa présentation a permis de faire le lien entre le contrôle interne et la fonction SSI avec pour objectif de montrer comment les échanges entre les différents services permettent de faire progresser l’ensemble de l’entreprise en matière de gestion de risques. Les discussions ont montré que le principal problème concerne l’organisation et la relation entre les acteurs pour avoir une meilleure gestion des risques. Elle dépend beaucoup des cultures d’entreprises et des relations entre les services voire entre les hommes. Il a été mis en lumière des prérequis dont la nécessité pour les acteurs de partager les mêmes métriques pour pouvoir améliorer la gestion des risques en entreprise. Une fois que l’on a des métriques communes, il est possible de pouvoir partager un catalogue de risques que l’on pourra adresser aux métiers.

Hervé Ysnel, Senior Maanger de Logica-CGI a traité de la gouvernance et gestion des risques autour du risque SSI versus le risque SI. Elle doit s’articuler autour des référentiels ISO 27002, méthodologies à mettre en œuvre EBIOS ISO… mais aussi sur des outillages à déployer. La définition du risque du métier de la DSI a été évoquée en préambule. Il est à la fois opérationnel et son analyse se base souvent sur Cobit. Les RSSI ont aussi évoqué le risque stratégique des métiers SI. En e domaine, la maturité est différente suivant la taille de l’entreprise, le secteur d’activité, le secteur de la finance étant la plus avancée du fait des règlements spécifiques en ce domaine (Bâle 2, Solvency 2). Pour les plus petites entreprises, s’est le RSSI qui porte le risque. Les RSSI ont remarqué que l’ERM n’est pas encore très mature en termes d’organisation, de méthodes et d’outillages. En conclusion, les RSSI on a remarqué que c’est plutôt sur les processus qu’il y a un langage commun car ils répondent aux problématiques de contrôle interne.

Christophe Semengué, Principal Consultant professional Security Services EMEA de Verizon Business a traité de l’e-GRC qui est la formalisation dans un système/outil. Les RSSI ont admis que ces outils sont intéressants, mais ils nécessitent des processus sans doute long à mettre en place. Ce concept semble mieux accepté dans les pays anglo-saxon qu’en France. En France, ce marché est en attente et n’est pas encore mature. L’offre est abondante surtout aux Etats-Unis. Pour la France, nous sommes sans doute en attente d’évolutions réglementaires qui pourraient faire émerger ce concept.

Au final, il semble qu’en matière de gestion des risques, il est nécessaire que les RSSi travaillent la main dans la main avec leurs DIS, les métiers et qu’ils obtiennent le sponsor d’un dirigeant. Pour cela, le maître mot est la communication, la diplomatie… et surtout que tous les collaborateurs d’une même entreprise comprennent que tout le monde doit travailler dans un seul sens le bien de l’entreprise. Comme nous l’avons titré dans le numéro 20 de Global Security Mag : la SSi c’est un pour tous et tous pour un !