Les principaux acteurs de cette politique de gestion des risques sont le directeur(rice) technique et le(la) juriste de l’entreprise, ou son conseil extérieur, lesquels pourront travailler ensemble à identifier (I) et maîtriser les risques liés au cloud (II).
I- Identifier les risques
Avant la mise en place de mesure de réparation, la première étape consistera à cartographier l’ensemble des données, services et sites internet hébergés par un prestataire tiers puis d’identifier plusieurs scénarii de risques de panne et d’indisponibilité.
Chaque scenario pourra ensuite être classé en fonction de son degré de gravité en tenant compte des potentielles conséquences en termes de pertes financières, de désorganisation au sein de l’entreprise et d’image vis-à-vis des clients.
S’agissant des données à caractère personnel, une analyse d’impact sur la protection des données pourra également être menée de manière approfondie pour se conformer aux règles du nouveau règlement européen sur la protection des données, notamment en matière de garantie d’accès et de durée de conservation.
II- Maîtriser les risques
Ce travail préalable permettra de vérifier l’adéquation des conditions contractuelles proposées par un hébergeur aux risques encourus par l’entreprise, et leur gravité.
S’il est d’usage d’adhérer à des conditions générales standard comme en offrent pratiquement tous les hébergeurs, chaque entreprise reste parfaitement libre de négocier des conditions particulières destinées à protéger au mieux ses intérêts.
En particulier, il est très important de s’assurer la maîtrise de ses données, leur sécurité et leur confidentialité.
Du côté du prestataire hébergeur, ces points sont autant de garanties destinées à rassurer leurs clients et donc à établir un lien de confiance dans la durée.
Pour répondre à ces impératifs, l’élaboration d’un document d’engagements sur des niveaux de service constitue un bon référentiel commun aux parties au contrat.
Bien évidemment, une attention toute particulière devra être portée aux clauses de responsabilité de l’hébergeur (et de ses éventuels partenaires) ainsi que l’étendue des garanties offertes en cas de réalisation d’un dommage affectant les données stockées.
Le client devra se poser plusieurs questions : l’indemnisation du préjudice est-elle limitée en termes de montant ou en termes de catégories de préjudice ? la procédure de mise en jeu de la responsabilité de l’hébergeur est-elle contraignante pour le client ? Existe-t-il des solutions de secours en cas de panne comme l’existence de générateurs de secours ?
De son côté, l’hébergeur aura tout intérêt à négocier la répercussion des clauses limitatives de responsabilité présentes dans les contrats conclus avec ses partenaires tels que fournisseur d’électricité, de serveurs ou d’infrastructure.
Enfin, la rédaction d’une clause de réversibilité destinée à obtenir la restitution des données dans un format lisible, en fin de contrat, constitue également une sécurité pour le client quant à la continuité de son activité et la maîtrise de ses coûts.
En définitive, une entreprise capable d’anticiper les risques liés à la perte ou l’indisponibilité temporaire de ses données sera mieux à même de se relever en cas d’incident et aura finalement une meilleure maîtrise globale de ses données stratégiques.
