Eviter les pièges du Cloud

 |   |  920  mots
(Crédits : DR)
Le Cloud apparaît sûr, mais des précautions sont nécessaires avant de se lancer. Par Charlotte Petyt, chef de produit, Cloudystem

Le Cloud est dans l'air du temps et offre de nombreux avantages. Beaucoup d'entreprises optent pour des services de Cloud ou Infrastructures "as a Service" (mise en œuvre de services dédiés à la demande) pour gagner de l'espace mais aussi en efficacité et en performance. Pourtant, avant de sauter le pas, il est nécessaire de vérifier certains points clés.

Choisir une entreprise française avec des Datacenter en France

Dès lors qu'une entreprise collabore avec une société basée aux Etats-Unis, elle est soumise au Patriot Act et aux lois américaines. Il est à présent reconnu publiquement que les services de renseignement américain ont tout pouvoir d'accéder aux données gérées par les infrastructures du Cloud des sociétés américaines. Cette surveillance, si elle est affichée, est faite dans le but de lutter contre le terrorisme mais peut aussi être utilisée à des fins stratégiques concurrentielles comme cela a déjà été démontré par le passé.

Quoi qu'il en soit, la souveraineté de l'Europe et de la France impose que les entreprises soient vigilantes autant au niveau économique qu'au niveau indépendance des libertés individuelles. La France, notamment grâce à la CNIL est particulièrement rigoureuse sur ces sujets. Des infrastructures appartenant à une société française, hébergée en France, et utilisant des opérateurs français sont la meilleure garantie du respect de cette déontologie de la confidentialité.

 S'assurer que les données déposées dans le Cloud restent confidentielles

Les données appartiennent aux clients et l'opérateur n'a aucun droit de regard sur celles-ci. Ces termes doivent être clairement spécifiés dans le contrat passé entre l'entreprise et le fournisseur de solutions de Cloud. Il faut également examiner attentivement les contrats proposés par le prestataire. Ils doivent respecter les principes français en matière de protection et de confidentialité des données personnelles (Loi du 6 janvier 1978 modifiée) et être conformes aux recommandations de la CNIL :? ?

1 Audit : La possibilité au client de demander un audit pour vérifier le respect par le prestataire des obligations contractuelles,

2 Réversibilité : Restitution des données dans un format lisible et destruction de celles-ci par la suite.

 Choisir un Cloud à visage humain

Il est important d'avoir confiance dans l'opérateur de service Cloud. La confiance regroupe : la compétence, la fiabilité, le respect des engagements et la disponibilité de l'opérateur en cas de difficulté. Tisser un lien avec l'entreprise qui propose des services de Cloud est un gage de transparence. De plus, on trouve plus rapidement des réponses à ses interrogations lorsqu'une société est à taille humaine. Les interlocuteurs de proximité sont plus réactifs que ceux placés à différents niveaux et qui plus est, à l'étranger.

La sécurité ne fait pas partie des options du contrat

 La sécurité ne doit pas faire partie des options du contrat. La sécurité est un sujet complexe et doit garantir la confidentialité, l'intégrité et la disponibilité des données. C'est un métier auquel les services informatiques peuvent être en général mal préparés, sauf si ils disposent assez de moyens pour embaucher des experts en interne (la redondance de l'expert fait partie de la sécurité…).

Confier son infrastructure, c'est aussi confier une bonne partie de sa sécurité à des experts. L'opérateur de services Cloud doit donc avoir une forte compétence en sécurité, et être équipé des meilleures solutions de sécurité du marché pour garantir l'étanchéité des Cloud privés virtuels, réseaux privés virtuels, prévention d'intrusion, détection de trafic IP anormal sortant, détection d'activité de malwares, etc.

Tous les hébergeurs proposant des services de Cloud ne sont pas suffisamment avertis de ces problématiques. Afin de protéger les données de l'entreprise dans le Cloud, la sécurité doit être intégrée dans l'offre de base pour garantir la confidentialité des données. Les échanges entre le Datacenter et les postes clients doivent pouvoir être chiffrés aux travers de tunnels sécurisés. De la même manière, les environnements virtuels doivent être privés et protégés par des systèmes de firewalls pour garantir l'étanchéité entre les clients. Selon les accords définis, seul le client et son prestataire doivent pouvoir accéder aux données dans le Cloud.

Disponibilité et sécurité des données ne doivent pas être confondus

 Il ne faut pas confondre : la disponibilité seule ne garantit pas la sécurité des données. Un Cloud peut être disponible à 99,9 % sans pour autant être protégé.Toutefois, certains Cloud permettent de gérer soi-même les paramètres de sécurité. Dans ce cas, seul le client accède à ses données et maîtrisent lui-même les paramètres de sécurité. Il devient alors responsable de la sécurité de son Cloud.

Demander à visiter les Datacenter

Visiter le(s) lieu(x) où est (sont) hébergé(s) les données, c'est s'assurer que les données sont bien présentes en France et rencontrer le prestataire, c'est aussi s'assurer que celui-ci maîtrise bien le Cloud qu'il propose. L'entreprise est alors rassurée sur sa capacité à récupérer ses données, sur le support de son choix sans dépendance du lien internet (sous réserve du respect du principe de réversibilité).

 

 

 

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 20/03/2014 à 8:57 :
Et si on change de fournisseur, on n'a plus accès au cloud !
a écrit le 19/03/2014 à 17:34 :
Haaaa, un fournisseur cloud qui me propose de visiter son centre serveur, moi j'en change illico !!
Réponse de le 19/03/2014 à 18:31 :
Il ne faut pas hésiter à lui demander une copie de sauvegarde des disques durs contenant les secrets de fabrication de vos concurrents. ;-)
a écrit le 19/03/2014 à 16:55 :
Correction: Evitez LE piège du Cloud. La concentration de données multiplie les risques de vol à l'instar des cambriolages plus fréquents en zone urbaine. Autant il est difficile de se passer d'un logement, autant il est très facile de se passer du Cloud (clé USB, disque dur externe, carte SD, etc).
Réponse de le 20/03/2014 à 22:11 :
Le "cloud" ne consiste pas qu'à stocker des données. C'est une catégorie très (trop?) vaste qui comprend divers services dont les entreprises ne peuvent pas forcément se passer sans investir des sommes énormes tant en termes d'infrastructures que de gestion (mise en place, maintenance, ...).
a écrit le 19/03/2014 à 16:44 :
"Le Cloud apparaît sûr", première phrase et déjà une connerie. Non le cloud n'est pas sûr, et oui l'implantation du cloud suit à peut près la même pente que celle des voitures électriques. Ce n'est pas demain la veille que les entreprises confieront leurs données à stocker chez un tiers (et il en va de même pour l'externalisation des ressources de calcul). Bref, un article d'informmercial totalement décorrélé de la réalité, comme d'habitude.
a écrit le 19/03/2014 à 16:34 :
Vu ce qui en train de se passer avec Sarkozy et les juges, je conseillerai plutôt de choisir un fournisseur de Cloud qui soit basé à l'étranger. Ainsi rien sur vos disques durs et en cas de perquisitions et de saisie, il faudra du temps pour qu'un juge obtienne une commission rogatoire internationale pour récupérer le contenu de vos emails et de vos DD ...
a écrit le 19/03/2014 à 15:54 :
"Demander à visiter les Datacenter" ouais, et faites la même chose avec votre fournisseur de téléphonie mobile, il y a pas de raison, hein? Je souhaiterais visiter les infrastructures mon opérateur mobile, de ma centrale nucléaire locale, de mon cloud provider et de la boucherie du coin. Normal.

Cet article ne vise pas du tout à générer de la PEUUUUURRRRRR!!!!
a écrit le 19/03/2014 à 12:02 :
cet article est une publi-information
Réponse de le 19/03/2014 à 12:23 :
La photo met sur la piste... Quelle bonne illustration du cloud !

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :