Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Naissance de Cloud Confidence : pour que le Cloud soit un véritable espace de confiance !

décembre 2014 par Marc Jacob

Cloud Confidence vient de naître. Cette nouvelle association s’est fixé pour mission de promouvoir la confiance dans le monde opaque du Cloud. Ainsi, elle réunit des utilisateurs, des prestataires, et l’écosystème du Cloud. Elle propose un cadre de transparence basé sur la protection, la confidentialité et la sécurité des données. Cloud Confidence ambitionne de construire un espace de confiance. En effet, pour son secrétaire général Thierry Flajoliet : « Pas de Cloud sans confiance pas de confiance sans transparence ! »

L’équipe de Cloud Confidence

Près de 250 professionnels se sont penchés sur les fonts baptismaux de Cloud Confidence ce 9 décembre. Cette association réunie déjà une quinzaine d’entreprises, des juristes, des consultants… L’association repose sur organisation collégiale représentant l’ensemble des acteurs de la filière. Elle a une vision européenne de sa mission et a déjà des projets pour rencontrer les représentants de l’EU afin de mener des actions de lobbying et arriver à imposer une normalisation des pratiques en matière de Cloud.

C’est Olivier Darrasson, Président de Cloud Confidence qui a ouvert la conférence organisée à l’occasion de la naissance de l’association. En guise d’introduction, il a expliqué que si les normes de sécurité dans le Cloud sont aujourd’hui bien définies, il reste les problèmes de confiance entre les utilisateurs et les fournisseurs. La problématique est de construire cette confiance car elle ne se décrète pas. Cette confiance doit se construire petit à petit. L’objectif est de préserver les intérêts des entreprises européenne mais elle n’exclut pas des sociétés étrangères ainsi Telehouse par exemple fait partie des membres fondateurs au côté d’Oodrive, Deny All, CEIS, EasyVista, Waycon, Aspaway, Iteanu... En conclusion de son intervention, il a lancé un appel pour que les membres au nombre d’une quinzaine aujourd’hui passe à une cinquantaine de membres en fin 2015.

Olivier Iteanu vice-président de l’association a expliqué les enjeux de l’association. Son objectif est de donner un outil aux prestataires vertueux et aux utilisateurs pour identifier les bons fournisseurs qui respectent les règles du jeu. Cloud confidence repose sur trois collèges un pour les utilisateurs parmi lesquels le Cigref et l’association droit et justice électronique, un pour les prestataires et un collège écosystème. Un premier guide de travail a déjà été créé pour élaborer un référentiel d’interoperabilité mené par les dirigeants de Waycon. Les fournisseurs devront passer des certifications en matière de garantie de la confidentialité des données. La volonté est vraiment d’avoir une envergure européenne ainsi des contacts ont été pris en Allemagne et une société allemande a adhéré à l’association. Des sociétés de certification ont déjà été contactées et LSTI teste déjà partenaire de l’association.

Dans les faits pour obtenir la certification Cloud Confidence les fournisseurs devront respecter trois principes :

1. Ils doivent s’engager à respecter toutes les informations économiques et stratégiques... de leurs clients comme des données à caractère personnel. Le niveau d’exigence est identique à celui du très attendu règlement européen sur la protection des données à caractère personnel.

2. Ils ne doivent pas être exposés d’une manière ou d’une autre à des lois ou réglementations en matière de révélation ds données à un Etat tiers comme par exemple le « Patriot Act ».

3. Ils doivent suivre les référentiels de l’ANSSI concernant le cloud computing ou encore le RGS.

Thierry Flajoliet délégué générale de l’association a animé le débat qui a suivi auquel participait Bernard Duverneuil DSI d’Essilor et vice-président du Cigref, Sylvain Gauthier, CEO d’EasyVista et Armelle Trotin, directrice du LSTI.

Bernard Duverneuil, Sylvain Gauthier et Armelle Trotin

Comment concilier la protection des données et le Cloud ?

Pour Bernard Duverneuil, le choix d’un partenaire de Cloud doit porter sur des prestataires qui garantissent la protection des données à caractères personnelles, la localisation des données et respecte l’utilisation des données confiées. Construire la confiance passe par des actes au quotidien et un dialogue constant explique-til. Bien sûr, il est important d’avoir des garantis de continuité d’activité avec des SLA mais plus important est la réactivité du partenaire en cas de problème. Il est aussi important d’avoir des clauses d’audit par un tiers.

Sylvain Gauthier dont l’entreprise vient d’obtenir la certification explique que du côté de la localisation est d’avoir des Data Centers répartis dans les pays où il opère. Pour ce qui concerne les process, il a suivi les réglementations ISO 27001. De ce fait, la certification lui a permis de valider sa démarche. Suite à l’audit certains process ont été modifiés afin d’être en conformité avec la norme. Cette certification lui permet de créer une confiance plus importante avec les clients et de sensibiliser les clients sur les problèmes liés aux législations en vigueur dans les différents pays où il travaille comme par exemple le Patriot Act.

Selon Armelle Trotin l’appel à des auditeurs indépendants permet de donner une véritable certification de conformité européenne. En effet, les audits sont réalisés sur site. Bien entendu ce sont les offres qui sont auditées. Le contrat de certification est validé durant cinq ans sous réserve d’un audit annuel. Les audits sont de trois hommes jours dont un jour sur site. L’audit mobilise le CIL s’il y en a un, les équipes techniques, les acheteurs... Un rapport est produit, puis un travail avec l’entreprise auditée est réalisé afin de réduire les écarts. Une seconde société Oodrive vient tout juste d’être certifiée. Telehouse et Waycon sont en cours de certification aujourd’hui.

Pas de Cloud sans confiance pas de confiance sans transparence ! A conclu Thierry Flajoliet. En conclusion les deux premières certifications ont été remises.

Si Internet vient des Etat-Unis, la règlementation et les bonnes pratiques viendront peut-être de l’Europe

Pour conclure cette session Pierre Bellanger, fondateur et PDG de Skyrock qui vient de publier aux éditions Stock "la souveraineté numérique" a proposé sa vision du Cloud Computing. Il a insisté sur l’importance de la certification pour inspirer la confiance et informer les élus qui ont un manque de connaissance de ces problématiques. Pour lui si Internet vient des Etat-Unis, la règlementation et les bonnes pratiques viendront peut-être de l’Europe grâce à cette initiative ! Son analyse du Cloud le porte à considérer que liberté et souveraineté (qui se détermine par le droit) sont synonymes. Avec le Cloud nos données ne sont la propriété de personne. En effet, elles ne sont ni protégées par le droit du pays dont elles proviennent car elles sont hébergées dans un autre et ni celle du pays où elles sont hébergées car elles appartiennent en principe à celui qui les a édité.... Dans la réalité, les données sont liées aujourd’hui les unes aux autres et sont de fait devenues un bien collectif.

Pierre Bellanger considère que l’IT est aujourd’hui destructeur d’emploi. Ainsi, pour un emploi créé dans l’IT quatre sont détruit dans d’autres secteurs. « Il n’y a pas de fatalité à ce que les réseaux sociaux soient en Californie et les plans sociaux en Picardie ! » A-t-il conclu.




Voir les articles précédents

    

Voir les articles suivants