La sécurité de vos données dans le Cloud

La sécurité de vos données dans le Cloud

Vérifiez attentivement les moyens de sécurité mis en œuvre par le fournisseur afin d’avoir un niveau de protection adéquat : cryptage des données « en transit » sur Internet (protocole TLS/SSL) et « au repos » sur les systèmes du fournisseur, processus de sauvegarde et de redondance des données, séparation de vos données de celles des autres locataires du serveur, plan de recouvrement des opérations en cas de sinistre…

Il est également important d’évaluer les mesures techniques et opérationnelles du fournisseur en ce qui concerne la sécurité et la confidentialité de vos données (contrôle des accès, localisation géographique des données incluant le lieu des copies de sauvegarde, avis de demande de communication des données par un tiers), notamment les renseignements personnels de vos clients et employés dont vous assumez la responsabilité en vertu de la loi québécoise sur la protection des renseignements personnels, et ce, même si vous confiez vos données à un tiers.

Le fournisseur et ses sous-traitants doivent être soumis aux mêmes clauses de non-divulgation des données et aucun d’eux ne devrait avoir un accès libre à votre contenu. Ou du moins, l’accès doit être très limité et pour les seuls besoins d’assurer la fourniture du service, le dépannage ou l’amélioration des fonctions de sécurité.

Exigez par contrat le maintien des certifications propres à ce type d’activités que peut détenir le fournisseur Cloud telles que la norme ISO 27001 (norme internationale de contrôle de la sécurité des informations) ou SSAE16 (norme application des mesures de contrôle au sein de l’entreprise). Négociez la possibilité de recevoir copie des audits de sécurité effectuée par le fournisseur ou la possibilité d’effectuer de tels audits.

OBLIGEZ LE FOURNISSEUR À DÉNONCER LES INCIDENTS DE SÉCURITÉ

Il est primordial que votre contrat prévoie que l’entière propriété des données confiées vous appartient et que votre fournisseur ne les détient qu’en fiducie pour vous. Les extractions de données (par exemple à des fins de profilage) doivent être interdites.

Il est nécessaire d’obliger le fournisseur à dénoncer les incidents de sécurité qui surviennent aux données confiées (vol ou perte de données, accès non autorisé par des hackers, modification ou destruction non autorisée des données) et ce, afin de remplir votre propre obligation légale de dénonciation à vos clients des atteintes subies à leurs données personnelles en cas de préjudice important à leur réputation et leur sécurité financière ou physique.

Convenez d’un avis d’incident à l’intérieur de 2 jours ouvrables maximum avec obtention d’un rapport sur les circonstances, les données visées et les actions prises par le fournisseur pour restaurer l’intégrité du système.

EN CAS DE PERTE DE DONNÉES OU DE FAILLITE DE VOTRE FOURNISSEUR

Conservez toujours une copie locale de vos données dans un format standard. Ainsi, vous serez indépendant et en contrôle tout en bénéficiant des avantages du nuage. Rappelez-vous du cas de Megaupload en 2012. Accusée par les États-Unis d’être une organisation dédiée à la violation des droits d’auteurs, tous ses sites ont été fermés. Les clients n’avaient plus accès à leurs données.