Now Reading
Quel Cloud pour quelle protection ?
0

Quel Cloud pour quelle protection ?

by Cloud Guru15 avril 2013

Christophe Auffray s’appuie sur un guide cossigné par le Cigref, pour rappeler les bonnes pratiques en matière de protection des données dans le Cloud. Extraits:

Cloud privé, public, IaaS, SaaS… Ces différents modèles de services informatiques sont regroupés derrière une seule dénomination : Cloud Computing. Mais cette simplification au niveau de la terminologie ne doit pas faire oublier les différences de ces architectures, notamment au regard de la protection des données et des obligations réglementaires. Rappeler ces différences, c’est un des objectifs du guide pratique conçu par le Cigref, l’AFAI (association française d’audit et de conseil informatiques) et l’IFACI (institut de l’audit interne) sur la protection des données dans le Cloud. […]

Pas de données stratégiques dans un Cloud public

Au risque d’oublier de prendre en compte certains aspects d’un projet Cloud, comme donc celui de la protection des données, qu’elles soient sensibles (données personnelles), stratégiques ou d’une autre autre. Or, le guide pratique rappelle notamment, qu’en fonction de la typologie de données, tous les Cloud ne sont pas bons. Transférer des données stratégiques et/ou personnelles vers un service Cloud externe et ouvert (SaaS et Cloud public) est ainsi considéré par le guide comme un usage inadapté, préconisant à la place de s’en tenir à une infrastructure interne et privée. […]

Négocier des clauses… dans des contrats souvent déséquilibrés

L’objectif de ce travail en amont est par exemple d’évaluer précisément la capacité du prestataire à « apporter des garanties suffisantes notamment sur les mesures de sécurité et de confidentialité appropriés. » Mais réfléchir en amont son projet Cloud n’est pas une garantie suffisante. L’entreprise doit également intégrer la protection des données dans le contrat conclu avec le fournisseur. « Il est primordial d’intégrer dans les clauses contractuelles des obligations fortes en matière de disponibilité, d’intégrité, de confidentialité, d’audit et de conformité exigées par l’entreprise, ses clients et les régulateurs » stipule le guide coproduit par le Cigref. […]

Négocier avec les pieds si nécessaire

Dans les négociations de contrat, certains points s’avèrent pourtant urticants. « Il n’est par exemple pas possible de faire de tests d’intrusion sur un système SaaS. On ne peut pas systématiquement auditer. Et cela, c’est gênant lorsqu’on a des contraintes SOX » soulignait par exemple le DSI de Manpower, Didier, Roy, lors de cette même conférence (désormais DSI de Foncia). Faute de marges de manoeuvre en matière de négociation, les entreprises devront se rapporter à leur analyse de risques pour trancher – menée en amont – et éventuellement écarter un prestataire, ce qui n’est pas toujours un choix aisé, en particulier quand un acteur écrase la concurrence sur un marché donné. […]

Pour en savoir plus :
> l’article de ZDnet

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?