4 conseils sécurité pour un contrat de Cloud Computing
Le Cloud Computing suscite de nombreuses interrogations en matière de sécurité. Maître Christiane Féral-Schul a édicté les quatre règles à respecter pour s'assurer que les aspects sécurité seront correctement pris en compte lors de la négociation d'un contrat de Cloud Computing à l'occasion d'un séminaire organisé par le Cercle Européen de la Sécurité et des Systèmes d'Information. Selon cette avocate spécialisée dans les technologies de l'information, il existe quatre types de risques qu'il faut absolument prendre en compte lorsque l'on envisage de confier une partie de son informatique à un Cloud : - La continuité de service, et la qualité de service : quelles solutions contractuelles sont proposées par l'opérateur de Cloud ? On est là dans le domaine classique des niveaux de service ou SLA (Service Level Agreement). - La garantie de récupérer ses données :une fois que vos données sont confiées à un opérateur tiers, quelles sont les garanties que vous récupérerez bien vos informations ? Quelles sont notamment les sauvegardes réalisées par l'opérateur de Cloud ? - La sécurité des données : la loi informatique et liberté doit être respectée, sous l'oeil rigoureux de la CNIL. On doit se poser des questions telles que : des données personnelles seront-elles transférées hors de l'Union Européenne ? Qu'est-il prévu en cas de destruction accidentelle ou illicite de données ? Idem en cas d'altération ou de divulgation de données ? « Le chef d'entreprise demeure responsable. Il faut contrôler le prestataire et faire procéder à des audits » souligne Christiane Féral-Schul. Le Cloud Computing apparaît comme une zone non identifiée alors qu'en outsourcing classique, on sait où sont situés géographiquement les serveurs. Il faut donc contractualiser la localisation des serveurs. - Garantir la traçabilité : il faut disposer d'outils de traçabilité des accès aux données et prévoir contractuellement des outils de ce type. Photo : Maître Christiane Féral-Schul