4 conseils sécurité pour un contrat de Cloud Computing

Publié le 01/07/2009 - CIO Online

Mettre ses données dans le nuage ne se fait pas sans prendre quelques précautions juridiques.

Les quatre règles à respecter pour s’assurer que les aspects sécurité seront bien traités lors de la négociation d’un contrat de Cloud Computing ont été présentées par Maître Christiane Féral-Schul lors d’un séminaire organisé par le Cercle Européen de la Sécurité et des Systèmes d’Information.

Selon l’avocate, il existe quatre types de risques qu’il faut prendre en compte lorsque l’on envisage de confier une partie de son informatique à un Cloud :

– La continuité de service, et la qualité de service : quelles solutions contractuelles sont proposées par l’opérateur de Cloud ? On est là dans le domaine classique des SLA (Service Level Agreement).

– La garantie de récupérer ses données,

– La sécurité des données : la loi informatique et liberté doit être respectée. On doit se poser des questions telles que : des données personnelles seront-elles transférées hors de l’Union Européenne ? Qu’est-il prévu en cas de destruction accidentelle ou illicite de données ? Idem en cas d’altération ou de divulgation de données ? « Le chef d’entreprise demeure responsable. Il faut contrôler le prestataire et faire procéder à des audits » souligne Christiane Féral-Schul. Le Cloud Computing apparaît comme une zone non identifiée alors qu’en outsourcing classique, on sait où sont situés géographiquement les serveurs. Il faut donc contractualiser la localisation des serveurs.

– Garantir la traçabilité : il faut disposer d’outils de traçabilité des accès aux données et prévoir contractuellement des outils de ce type.

Autres publications