Informatique : Le cloud computing en toute sécurité

Informatique

Publié le 15/11/2012 À 00H00

Les offres de stockage de données, y compris personnelles, sont nombreuses. Avant de s'engager avec un prestataire, mieux vaut s'assurer qu'il propose un service d'hébergement et de protection sûr.

Informatique : Le cloud computing en toute sécurité

Le cloud computing offre des services externalisés en termes d'applications métiers (CRM, RH...) ou d'infrastructures et d'espaces de stockage. L'objectif étant d'optimiser ces derniers en laissant le prestataire assurer l'hébergement et la gestion des serveurs.

Les offres de cloud sont diverses. Le SaaS (« software as a service ») constitue la fourniture d'un logiciel en ligne. Le PaaS (« plateform as a service ») assure la fourniture d'une plate-forme de développement d'applications en ligne. Enfin, l'Iaas (« infrastructure as a service ») n'est autre que la fourniture d'infrastructures de calcul et de stockage en ligne. Ces solutions permettent aux entreprises de se libérer du poids de la gestion de leur outil informatique, et notamment des serveurs. L'intérêt est aussi de bénéficier de l'expertise du prestataire dans le développement d'outils et d'éviter les écueils de l'intégration.

Les services cloud entraînent le traitement de données à caractère personnel. C'est le cas lorsque vous choisissez une solution pour la gestion de vos ressources humaines, puisque vous opérez un transfert des données de vos salariés vers les serveurs du prestataire. L'arrivée des offres cloud a fait apparaître des problématiques en termes de protection des données pour lesquelles la réglementation applicable ne peut pas encore répondre de manière satisfaisante (loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée). Ainsi, comment s'assurer que les mesures de sécurité (confidentialité et intégrité) sont suffisantes au regard des données à caractère personnel concernées et qu'elles sont conformes à la réglementation française ? Quel contrôle le client peut-il exercer sur ces données hébergées chez un prestataire ? Comment anticiper la question des transferts des données ? Que se passe-t-il en cas de changement de prestataire ou en cas de sous-traitance par le prestataire à l'étranger ?

Un choix bien raisonné

La Commission nationale de l'informatique et des libertés (Cnil) a présenté, le 25 juin, ses recommandations à destination des utilisateurs du cloud. D'après l'instance, il convient d'identifier les données à caractère personnel, de définir ses exigences en matière de sécurité, de réaliser une étude des risques, d'identifier le type de cloud approprié aux besoins, de choisir un prestataire présentant des garanties suffisantes, de revoir sa politique de sécurité interne et de surveiller les évolutions dans le temps.

Avant de recourir à de tels services, il faut prévoir une étude des offres et types de cloud computing afin de choisir le prestataire et le service les plus adaptés à ses besoins et à ses contraintes techniques et juridiques. Il est également conseillé de conserver la maîtrise de ses données, et notamment de contrôler leur récupération et leur localisation, de vérifier que le prestataire respecte bien les normes de sécurité et présente des garanties suffisantes en termes d'infrastructures et de moyens. Il faut encore sensibiliser les équipes en interne sur l'utilisation des services cloud, en revoyant la charte informatique, et négocier les clauses structurantes du contrat.

Si l'Europe tarde à se placer sur le marché du cloud computing par rapport aux États-Unis, c'est sans doute en raison du caractère plus protecteur de ses législations, notamment en matière de données à caractère personnel.

Par Claudia Weber et Eloïse Urbain

Réagir à cet article