Le Cloud Computing, un passage obligé, mais comment en maitriser les risques ?

Selon le cabinet MARLESS INTERNATIONAL, le marché du cloud français a progressé de 21 % pour atteindre 8,5 milliard d’euros en 2017. Nouvelle forme de stockage du 21ème siècle, le cloud s’impose désormais comme un point de passage obligé et un levier essentiel de transformation numérique d’une entreprise.

QU’EST-CE QUE LE CLOUD COMPUTING ?

Le Cloud computing (ou l’informatique en nuage) désigne la déportation sur des serveurs distants, des données et traitements informatiques. L’accès aux données et ressources ainsi déportées, est rendu possible par l’intermédiaire du réseau internet, permettant leur exploitation de n’importe quel lieu.

Cette technologie qui offre une disponibilité en libre-service des ressources est plébiscitée pour sa flexibilité, son élasticité et son coût basé sur l’utilisation.

Le Cloud Computing se divise en trois catégories(1) en fonction des ressources qu’il met à disposition l’IaaS (Infrastructure as a Service), PaaS (Platform as a Service), le SaaS (Software as a Service).

On distingue quatre modèles de déploiement du Cloud Computing : cloud privé interne ou externe, cloud hybride et cloud public(2) :

POURQUOI LES ENTREPRISES EVOLUENT-ELLES VERS CETTE NOUVELLE TECHNOLOGIE ?

Selon les études, 52 % des organisations basculeront leurs infrastructures informatiques dans le cloud en 2018 (Coleman Parkes) et d’ici 2020,  ce sont 73 % des sociétés qui utiliseront des solutions SaaS pour au moins 80 % de leurs activités (Etude réalisé par BetterCloud).

Ces chiffres démontrent le succès grandissant du Cloud qui s’inscrit pour les entreprises comme un service nécessaire à leur transformation numérique.

Les avantages tels que la rapidité de sa mise en œuvre, sa facilité de gestion, sa flexibilité, son élasticité et sa mobilité accrue (puisqu’une simple connexion internet suffit), sont mis en avant dans le choix de cette technologie.

Son coût est également un de ses points forts, puisque basé uniquement sur l’usage du service (l’entreprise ne paie que ce qu’elle consomme), ajouté à l’économie réalisée du fait de la dispense d’acquisition d’infrastructures de stockage interne.

QUELS SONT LES FACTEURS DE RISQUES POUR L’ENTREPRISE ?

Les risques liés au Cloud Computing public ou hybride sont nombreux et nouveaux, ceci associé au peu de recul disponible en la matière.

De divers ordres, (atteinte à la confidentialité, à la sécurité des données, indisponibilité des données), ils découlent principalement de la perte, par l’entreprise de la maîtrise de ses informations stockées dans un emplacement généralement non porté à sa connaissance.

Les contrats de Cloud computing, souvent génériques, offrent peu de marge de manœuvre aux entreprises qui peinent généralement à obtenir des aménagements spécifiques.

1. Atteinte à la confidentialité des données

Le Cloud Computing, offert sous la forme publique ou hybride crée un risque de perméabilité des données entre les différents bénéficiaires du fait de leur hébergement au sein d’infrastructures mutualisées.

Par ailleurs, les clauses contractuelles souvent opaques sur les lieux de localisation des données et sur les réglementations qui y sont applicables accentuent le risque de violation des données du fait du droit d’accès aux données offert à certains Etats par leur législation.

A titre d’illustration, le Cloud Act, (Clarifying Lawful Overseas Use of Data Act) voté le 23 mars 2018, par le congrès américain permet désormais au gouvernement dans le cadre d’une enquête, de saisir des données à caractère personnel même localisé à l’étranger (paragraphe 2713 du Cloud Act), dès lors qu’elles sont hébergées par des sociétés américaines.

Ainsi, une société française confiant ces informations à une entreprise américaine même localisé sur le sol français, pourrait voir ses données les plus confidentielles saisies au titre de cette loi.

2. Atteinte à la sécurité des données

Les informations transférées par les entreprises sur un Cloud public (ou hybride) peuvent notamment contenir des données personnelles de leurs clients voire des données sensibles. Les risques d’atteinte à la sécurité de ces données lors de leur transit sur internet, exposent ces entreprises à des risques de perte, de détournement ou de corruption pouvant avoir des conséquences graves tant pour elles, que pour leurs clients.

La faiblesse des offres des prestataires de cloud Computing notamment en matière de sécurité des données (défaut ou défaillance dans le chiffrement de données par ex) constitue un des facteurs de danger de ce type de service.

3. Indisponibilité des données

Le prestataire doit en principe assurer la continuité des services en s’engageant sur un taux de disponibilité.

Cet engagement contractuel demeure, néanmoins, un vœu pieu car aucun prestataire ne peut garantir la puissance du réseau internet qui constitue pourtant un des éléments clés de cette disponibilité.

Des défaillances sur les services cloud ne sont pas rares : ex Amazon en 2012, Dropbox, Gmail, Adobe en 2014, Apple en 2015.

Lorsqu’elles se produisent, elles ont pour effet de rendre tout accès aux données impossibles et sont susceptibles d’engendrer des pertes financières conséquentes pour les entreprises.

QUELLES SONT LES MOYENS OFFERTS À L’ENTREPRISE POUR ATTENUER CES RISQUES ?

Au vu des risques évoqués, la nécessite d’un environnement juridique sécurisé doit accompagner le choix par l’entreprise, du passage vers le cloud computing public (ou hybride).

1. Renforcement de l’encadrement juridique

Lorsqu’une entreprise décide d’opter pour un tel service impliquant outre le transfert de ses infrastructures, mais également des données à caractère personnel (base de données client, RH, marketing), elle agit au regard de ces données en qualité de responsable de traitement conformément à la réglementation en vigueur.

Règles applicables avant le 25 mai 2018

La loi informatique et liberté, en vigueur jusqu’au 25 mai 2018, imposait au responsable de traitement dans les contrats passés avec les prestataires d’hébergeant lesdites données, (sous-traitants), la mise en place de clauses spécifiques relatives à la sécurité et la confidentialité des données.

Le sous-traitant, qui ne pouvait agir que sur instruction de l’entreprise, devait, par ailleurs, présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité prévues à l’article 34 de la loi informatique et libertés.

Règles applicables depuis le 25 mai 2018

Le RGDP applicable depuis le 25 mai 2018, est venu consacrer une responsabilité de tous les acteurs impliqués dans le traitement des données personnelles en imposant des obligations spécifiques aux sous-traitants (art 28,30.2 et 37 du Règlement européen).

Les sous-traitants, hébergeurs des données de l’entreprise, doivent depuis le 25 mai 2018, offrir à l’entreprise cliente « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen).

Les sous-traitants devront notamment assister et conseiller l’entreprise cliente, responsable des traitements, dans sa conformité à certaines obligations issues du RGPD (notification de violation, sécurité des données, contribution aux audits …).

Les sous-traitants devront notamment, au titre du RGPD,  garantir la sécurité des données traitées en mettant en place un niveau de sécurité adapté aux risques qu’impliquent les traitements.

La logique de responsabilité de tous les acteurs impliqués dans les traitements de données mise en place par le RGPD, vient au secours des entreprises optant pour un passage vers une technologie de Cloud computing.

Les nouvelles obligations mises à la charge du sous-traitant par le RGPD, tendent à renforcer le niveau de sécurité juridique de l’entreprise dans sa relation contractuelle avec les acteurs des services Cloud.

Tout contrat de services devrait ainsi à minima prévoir des clauses relatives à :

  • La sécurité et à la confidentialité des données (technique de chiffrement, anonymisation..) ;
  • Le transfert des données hors de l’UE ; (encadrement des transferts)
  • L’audit du prestataire ;
  • La réversibilité des prestations ;
  • La continuité des services (réplication des données sur sites distincts, SLA)

En outre, l’entreprise doit autant que possible éviter une externalisation de ses données les plus sensibles ou stratégiques (propriété intellectuelles, secret des affaires …) afin d’atténuer les risques encore existants ou opter pour un cloud entièrement privé.

2. La solution du Cloud Souverain

Issue en 2011 d’un projet de partenariat Public-Privée (Andromède malheureusement avorté), le Cloud souverain visait à mettre en place un acteur de taille capable de concurrencer les structures américaines en la matière, mais intégrant un stockage des données sur le territoire français et contrecarrant de fait, les lois américaines autorisant les agences de renseignement à saisir les données stockées sur le sol américain (Patriot Act).

Depuis lors, le « Cloud souverain » est devenu le terme générique employé pour tout stockage ou traitement des données sur des serveurs situés en France.

L’entrée en vigueur du RGDP, ou du Cloud Act prêche pour une souveraineté en matière de cloud computing qui présente l’avantage d’être porté par des acteurs français situés en France.

Aujourd’hui, des entreprises telles que Oodrive ou Orange Cloud for business offrent un stockage de données en France.

Enfin, l’ANSSI (Agence Nationale de Sécurité des Systèmes d’informations) a mis en place récemment, le référentiel SecNumCloud qui permet d’attester de la conformité d’un prestataire aux exigences notamment de sécurité des données ou de localisation des données sur le territoire de l’Union Européenne (la dernière version des exigences a été publiée le 11 juin 2018).

La liste des prestataires en cours de qualification ou qualifiés est disponible sur le site web de l’ANSSI. Les entreprises peuvent désormais s’y référer dans le cadre de leur procédure de choix du prestataire Cloud Computing appelé à stocker leurs informations.

_________________________

(1)  

  • L’IaaS (ou l’infrastructure en tant que service), offre l’accès à des infrastructures informatiques virtuelles, (incluant notamment, un système d’exploitation, espace de stockage, de sauvegarde…) sur lesquelles l’entreprise peut effectuer ses installations logicielles. Cette technologie permet à l’entreprise de faire l’économie de l’achat d’infrastructures ou de matériels souvent coûteux. Des fournisseurs comme OVH, Google Cloud Platform ou Orange Cloud for Business propose ce type de services.
  • Le PaaS (ou Plateforme en tant que service) offre l’accès à une plateforme de développement incluant l’ensemble des composants logiciels et techniques (standardisés) directement hébergés sur les infrastructures du fournisseur. La plateforme permet le développement de logiciels ou d’applications. Des fournisseurs comme Salesforce, Elastic Beanstalk d’Amazon ou Google App Engine propose ce type de service.
  • SaaS (ou Software as services) offre l’accès grâce au réseau internet à des solutions applicatives dont l’usage répond à un domaine précis. Le Saas facilite la gestion des mises à jour, de la disponibilité du service ou de la maintenance de la solution.
    Des entreprises telles que Amazon (Amazon Cloud Drive), Microsoft (Office 365), Apple (Icloud), Google (Google Drive) mettent à disposition des logiciels en SaaS.

(2) 

  •  Les Clouds privés internes qui sont gérés au sein même de l’entreprise pour ses besoins propres et sur des infrastructures lui appartenant.
  • Les Clouds privés externes qui sont dédiés aux seuls besoins de l’entreprise mais hébergés chez un prestataire.
  • Les Clouds hybrides qui combinent les clouds publics et privés. Ce modèle offre une versatilité à l’entreprise tout en lui permettant de conserver la gestion, le contrôle et la sécurité de ses ressources et données.
  • Le cloud public qui mutualise la prestation pour un nombre important de clients. Les services sont fournis aux clients, à la demande et réglés suivant leur consommation du stockage, ou de la bande passante grâce aux infrastructures d’un prestataire.

Laisser un commentaire

Des questions ?

Une information, des questions, une consultation ?
N’hésitez pas à nous contacter.