5 bonnes pratiques du cloud computing

Le fournisseur peut en effet décider leur suppression de manière unilatérale, voire sans avertissement. Là encore, j’ai mis deux exemples récents en valeur :

• Angleterre, Février 2013

Les clients de la société anglaise « 2e2 administrator », qui fournit des services Cloud envoie une lettre à l’ensemble de ses clients, leur ordonnant de payer immédiatement 4.000 livres sterling pour les aider à financer leur propre migration vers un autre fournisseur avant coupure définitive des serveurs hébergeant leurs données…

• Monde, Juin 2013

Près d’un an et demi après la coupure de Megaupload par les autorités, l’espoir s’amenuise pour les utilisateurs qui tentent de récupérer leurs données. L’hébergeur néerlandais LeaseWeb a pris l’initiative en faisant le ménage dans ses serveurs.

Le premier exemple est le risque pris si votre hébergeur se trouve dans une situation financière catastrophique, et dans le premier cas de figure, que se passerait-il si l’administrateur judiciaire de l’entreprise lors de son dépôt de bilan décidait de simplement couper le courant du centre de données ?

Le deuxième exemple traite des problèmes que peuvent engendrer la mutualisation de plusieurs entreprises sur une plateforme unique. C’est comme lorsque vous sortez dans la rue : le danger vient aussi des autres. Que fait réellement votre « e-voisin » ? Et si celui-ci avait des pratiques illégales qui pourraient entraîner une mise sous séquestre de la plateforme de l’hébergeur à des fins d’enquête souvent longues ? Je vous laisse juger des conséquences sur votre propre activité…

Enfin, en dernier exemple, j’ai souhaité traiter des difficultés que peut causer l’absence de discussions préliminaires avant un engagement contractuel en ce qui concerne les clauses de réversibilité, notamment en citant le cas de l’UMP contre Oracle, qui fort heureusement, semble s’être soldé en faveur du client (en l’occurrence ici l’UMP) :

Fin 2012, le contrat qui le lie à l’éditeur américain arrivant à échéance, ce parti politique décide de changer de système de gestion de base de données externalisée sur le Cloud (sa base « Adhérents »). Mais l’UMP ne peut récupérer ses données, un bug technique empêchant la fonction « export » d’Oracle CRM On Demand. En attendant la mise en œuvre d’une nouvelle version, Oracle propose un correctif spécifique. En réponse, l’UMP l’assigne en référé. Le TGI de Nanterre donne raison à ce dernier et propose deux injonctions alternatives à Oracle, assorties d’une astreinte de 5.000 euros par jour de retard : Soit Oracle fournit à l’UMP « les moyens techniques de nature à lui permettre sans délai l’exportation de l’ensemble de ses données nominatives hébergées ». Soit l’éditeur garantit à l’UMP, sans frais, la prolongation de l’accès complet au service Oracle CRM On Demand, « jusqu’à l’expiration d’un délai de deux mois à compter du jour où il sera en mesure de procéder à l’exportation de ses données nominatives hébergées ».

Une fois ces exemples présentés, j’ai alors conclu ma présentation sur un recueil de recommandations et de bonnes pratiques qui feront l’objet d’un prochain livre blanc conçu avec des juristes et des hébergeurs destiné à la profession :

1.    Qualifier les données

o    Définir et qualifier votre patrimoine informationnel
o    Données pouvant faire l’objet d’intelligence économique
o    Protection du secret et de la confidentialité entre individus

2.    Conserver le contrôle en interne

o    Adapter la charte informatique aux nouveaux usages
o    Former vos collaborateurs sur la gestion du risque
o    Chiffrer, Chiffrer, Chiffrer… Tout !
o    Documents (ZIP)
o    Périphérique, clés, disques, etc…
o    Communication (SSL)
o    Garder un serveur local non connecté à Internet dans un espace sécurisé par vos soins. Le Cloud Computing n’est pas une solution qui remplace l’ensemble des technologies

3.    Qualifier votre fournisseur

o    Examiner les contrats avant de vous engager
o    Vérifier la notoriété et la solidité financière de votre fournisseur
o    Limiter le nombre d’intermédiaires
o    Assurez votre réversibilité, la responsabilité dans le cadre de contrats emboîtés et chapeaux, les conditions de garantie, la confidentialité, la localisation de vos données, le droit à l’oubli, le droit applicable. Demander un contrat « papier »
o    Noter qu’il n’existe pas de normalisation pour un service « Cloud Computing », même si plusieurs initiatives devraient aboutir
o    Demander une copie des certifications de l’hébergeur
i.    ISO/IEC 27001:2005  Information technology — Security techniques — Information security management systems
ii.    Conformités industrielles en termes de sécurité, de résilience, de sauvegarde (ex : SAS70 Type II, HIPAA, EU Safe Harbour, FINRA, …)
iii.    Les interroger sur leurs prochaines certifications à venir :

• EU Code of Conduct for Data Centres (Corporate)
• ISO 27017 – Information Technology — Security techniques — Security in cloud computing
• ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services
• Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

Alors, la protection des données dans le nuage informatique. Une réalité ou une illusion ? En fait, la réponse ne dépend que de vous.