Quels sont les avantages apportés ?
Les utilisateurs peuvent accéder à ces services dans des délais plus rapides que ceux offerts par les prestations traditionnelles et bénéficier des applications logicielles dans leur version optimale. Les bénéfices peuvent être financiers : les investissements en matériel et logiciels informatiques sont réduits mais les coûts des prestations sont variables en fonction des besoins en termes d’applications et de volumes de stockage. Le principal atout sécuritaire du Cloud est potentiellement une centralisation des mesures et audits de sécurité. Cependant ces avantages s’accompagnent de nouvelles menaces.
Quels sont les risques en matière de sécurité des systèmes d’information ?
Comme dans tous les projets informatiques, la sécurité se mesure en termes de disponibilité, d’intégrité et de confidentialité des données, ainsi que de gestion des preuves informatiques. Les risques existants dans l’informatique traditionnelle sont toujours présents (fraude, catastrophes naturelles, etc.). De plus, certains risques sont favorisés par la concentration des systèmes et leur localisation. Selon une étude publiée par l’ENISA, parmi ces risques figurent notamment les inexécutions liées au réseau, aux systèmes et aux applications, la rupture de la confidentialité, la perte ou dégradation de traces et sauvegardes. Et du point de vue juridique, quelques risques majeurs apparaissent :
L’application de règles extraterritoriales
La localisation des données pourra déterminer le droit applicable au patrimoine informationnel de l’entreprise, sachant les données hébergées sur des serveurs informatiques peuvent être transférées dans un pays ou un autre, voire dans plusieurs pays, en fonction des choix techniques du prestataire. Les procédures administratives ou judiciaires étrangères peuvent être méconnues, différentes voire contradictoires avec les procédures nationales. Certains pays peuvent s’avérer particulièrement risqués : régimes autocratiques ou ne respectant pas les conventions internationales, Etats dans lesquels le droit est développé mais les risques de sanctions administratives et financières sont élevés.
Les risques de rupture de la confidentialité
Si l’entreprise peut être amenée à communiquer certaines catégories d’informations couvertes par une obligation légale de confidentialité (secret médical, bancaire, etc.) dans le « cloud », quel que soit le pays de stockage des données, celle-ci doit s’assurer par des moyens techniques, organisationnels et contractuels, que cette confidentialité sera protégée conformément au droit applicable.
Les risques liés au traitement des données à caractère personnel
Les dispositions de la loi Informatique et Libertés et la directive européenne imposent à l’entreprise un ensemble d’obligations relatives au traitement des données à caractère personnel, et notamment des formalités déclaratives, des astreintes en matière de collecte, et de durée de conservation. En outre, l’entreprise est tenue de mettre en œuvre des mesures de sécurité proportionnées à la nature des données. Ce qui signifie que les inexécutions potentielles pourront mettre en jeu la responsabilité de l’entreprise, dans le cadre de procédures administratives ou pénales, et naturellement générer un risque d’atteinte à son image et sa réputation. Un autre point de vigilance porte sur la durée de conservation et la destruction des documents, en conformité avec les exigences légales.
Les risques liés à la propriété intellectuelle
La propriété intellectuelle des créations de l’établissement, intégrées dans le système d’information hébergé dans le Cloud, représente également une question délicate. Les créations peuvent être de différentes natures, notamment logiciels, éléments protégés par les droits d’auteur, par le droit des marques, des brevets, par la protection intuitu personae des bases de données ou le savoir-faire.
Les difficultés d’accès aux données par les régulateurs français et européens
Quel que soit le lieu de stockage des données, l’entreprise doit être capable, à tout moment de répondre favorablement à une demande émanant d’un régulateur français ou européen (autorités douanières, de la concurrence, etc.), voire d’une autorité judiciaire, qui demande à consulter les informations. Les conditions d’hébergement des données concernées permettent-elles un accès exhaustif et dans des conditions conformes aux demandes des autorités ?
Quelles solutions ?
En fonction des conclusions de l’analyse de risque, préalable à la décision d’externaliser une application ou activité dans le cloud, différentes solutions peuvent contribuer à la sécurisation de la prestation, notamment le choix de localisation des serveurs (en France ou au sein de l’Union Européenne) et le chiffrement ou l’anonymisation de certaines catégories de données. Et naturellement la préparation et l’élaboration d’un contrat, entre l’utilisateur et l’opérateur de cloud, intégrant les exigences et obligations réglementaires de l’entreprise. Les points majeurs à traiter porteront notamment sur la sécurisation des applications et des données, la confidentialité et l’organisation d’audits de sécurité. Dans un esprit de prévention des risques, seront également importantes les clauses relatives au droit applicable, à la qualité de service, à l’avertissement du client en cas de faille de sécurité, aux conditions de restauration de données et de réversibilité, permettant de rapatrier les données ou de les transférer à d’autres prestataires.
