Eviter les pièges du Cloud

Le Cloud apparaît sûr, mais des précautions sont nécessaires avant de se lancer. Par Charlotte Petyt, chef de produit, Cloudystem

Le Cloud est dans l'air du temps et offre de nombreux avantages. Beaucoup d'entreprises optent pour des services de Cloud ou Infrastructures "as a Service" (mise en œuvre de services dédiés à la demande) pour gagner de l'espace mais aussi en efficacité et en performance. Pourtant, avant de sauter le pas, il est nécessaire de vérifier certains points clés.

Choisir une entreprise française avec des Datacenter en France

Dès lors qu'une entreprise collabore avec une société basée aux Etats-Unis, elle est soumise au Patriot Act et aux lois américaines. Il est à présent reconnu publiquement que les services de renseignement américain ont tout pouvoir d'accéder aux données gérées par les infrastructures du Cloud des sociétés américaines. Cette surveillance, si elle est affichée, est faite dans le but de lutter contre le terrorisme mais peut aussi être utilisée à des fins stratégiques concurrentielles comme cela a déjà été démontré par le passé.

Quoi qu'il en soit, la souveraineté de l'Europe et de la France impose que les entreprises soient vigilantes autant au niveau économique qu'au niveau indépendance des libertés individuelles. La France, notamment grâce à la CNIL est particulièrement rigoureuse sur ces sujets. Des infrastructures appartenant à une société française, hébergée en France, et utilisant des opérateurs français sont la meilleure garantie du respect de cette déontologie de la confidentialité.

 S'assurer que les données déposées dans le Cloud restent confidentielles

Les données appartiennent aux clients et l'opérateur n'a aucun droit de regard sur celles-ci. Ces termes doivent être clairement spécifiés dans le contrat passé entre l'entreprise et le fournisseur de solutions de Cloud. Il faut également examiner attentivement les contrats proposés par le prestataire. Ils doivent respecter les principes français en matière de protection et de confidentialité des données personnelles (Loi du 6 janvier 1978 modifiée) et être conformes aux recommandations de la CNIL :? ?

1 Audit : La possibilité au client de demander un audit pour vérifier le respect par le prestataire des obligations contractuelles,

2 Réversibilité : Restitution des données dans un format lisible et destruction de celles-ci par la suite.

 Choisir un Cloud à visage humain

Il est important d'avoir confiance dans l'opérateur de service Cloud. La confiance regroupe : la compétence, la fiabilité, le respect des engagements et la disponibilité de l'opérateur en cas de difficulté. Tisser un lien avec l'entreprise qui propose des services de Cloud est un gage de transparence. De plus, on trouve plus rapidement des réponses à ses interrogations lorsqu'une société est à taille humaine. Les interlocuteurs de proximité sont plus réactifs que ceux placés à différents niveaux et qui plus est, à l'étranger.

La sécurité ne fait pas partie des options du contrat

 La sécurité ne doit pas faire partie des options du contrat. La sécurité est un sujet complexe et doit garantir la confidentialité, l'intégrité et la disponibilité des données. C'est un métier auquel les services informatiques peuvent être en général mal préparés, sauf si ils disposent assez de moyens pour embaucher des experts en interne (la redondance de l'expert fait partie de la sécurité…).

Confier son infrastructure, c'est aussi confier une bonne partie de sa sécurité à des experts. L'opérateur de services Cloud doit donc avoir une forte compétence en sécurité, et être équipé des meilleures solutions de sécurité du marché pour garantir l'étanchéité des Cloud privés virtuels, réseaux privés virtuels, prévention d'intrusion, détection de trafic IP anormal sortant, détection d'activité de malwares, etc.

Tous les hébergeurs proposant des services de Cloud ne sont pas suffisamment avertis de ces problématiques. Afin de protéger les données de l'entreprise dans le Cloud, la sécurité doit être intégrée dans l'offre de base pour garantir la confidentialité des données. Les échanges entre le Datacenter et les postes clients doivent pouvoir être chiffrés aux travers de tunnels sécurisés. De la même manière, les environnements virtuels doivent être privés et protégés par des systèmes de firewalls pour garantir l'étanchéité entre les clients. Selon les accords définis, seul le client et son prestataire doivent pouvoir accéder aux données dans le Cloud.

Disponibilité et sécurité des données ne doivent pas être confondus

 Il ne faut pas confondre : la disponibilité seule ne garantit pas la sécurité des données. Un Cloud peut être disponible à 99,9 % sans pour autant être protégé.Toutefois, certains Cloud permettent de gérer soi-même les paramètres de sécurité. Dans ce cas, seul le client accède à ses données et maîtrisent lui-même les paramètres de sécurité. Il devient alors responsable de la sécurité de son Cloud.

Demander à visiter les Datacenter

Visiter le(s) lieu(x) où est (sont) hébergé(s) les données, c'est s'assurer que les données sont bien présentes en France et rencontrer le prestataire, c'est aussi s'assurer que celui-ci maîtrise bien le Cloud qu'il propose. L'entreprise est alors rassurée sur sa capacité à récupérer ses données, sur le support de son choix sans dépendance du lien internet (sous réserve du respect du principe de réversibilité).

 

 

 

Sujets les + lus

|

Sujets les + commentés

Commentaires 10
à écrit le 20/03/2014 à 8:57
Signaler
Et si on change de fournisseur, on n'a plus accès au cloud !

à écrit le 19/03/2014 à 17:34
Signaler
Haaaa, un fournisseur cloud qui me propose de visiter son centre serveur, moi j'en change illico !!

le 19/03/2014 à 18:31
Signaler
Il ne faut pas hésiter à lui demander une copie de sauvegarde des disques durs contenant les secrets de fabrication de vos concurrents. ;-)

à écrit le 19/03/2014 à 16:55
Signaler
Correction: Evitez LE piège du Cloud. La concentration de données multiplie les risques de vol à l'instar des cambriolages plus fréquents en zone urbaine. Autant il est difficile de se passer d'un logement, autant il est très facile de se passer du C...

le 20/03/2014 à 22:11
Signaler
Le "cloud" ne consiste pas qu'à stocker des données. C'est une catégorie très (trop?) vaste qui comprend divers services dont les entreprises ne peuvent pas forcément se passer sans investir des sommes énormes tant en termes d'infrastructures que de ...

à écrit le 19/03/2014 à 16:44
Signaler
"Le Cloud apparaît sûr", première phrase et déjà une connerie. Non le cloud n'est pas sûr, et oui l'implantation du cloud suit à peut près la même pente que celle des voitures électriques. Ce n'est pas demain la veille que les entreprises confieront ...

à écrit le 19/03/2014 à 16:34
Signaler
Vu ce qui en train de se passer avec Sarkozy et les juges, je conseillerai plutôt de choisir un fournisseur de Cloud qui soit basé à l'étranger. Ainsi rien sur vos disques durs et en cas de perquisitions et de saisie, il faudra du temps pour qu'un ju...

à écrit le 19/03/2014 à 15:54
Signaler
"Demander à visiter les Datacenter" ouais, et faites la même chose avec votre fournisseur de téléphonie mobile, il y a pas de raison, hein? Je souhaiterais visiter les infrastructures mon opérateur mobile, de ma centrale nucléaire locale, de mon clou...

à écrit le 19/03/2014 à 12:02
Signaler
cet article est une publi-information

le 19/03/2014 à 12:23
Signaler
La photo met sur la piste... Quelle bonne illustration du cloud !

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.