L’aspect légal du Cloud : quoi évaluer?

L’aspect légal du Cloud : quoi évaluer?
Écrit par Me Benoît Trotier

Écrit par Me Benoît Trotier,
spécialiste en droit des technologies
et Internet, Joli-Coeur Lacasse avocats.

L’attrait du Cloud permettant l’accessibilité de vos données en tout temps par Internet, une solution logicielle mise à jour en continu et des frais reliés à votre consommation est bien réel et tôt ou tard vous aurez à décider si vous faites le saut avec vos données d’entreprise.

Prenez en considération les éléments suivants pour assurer la sécurité physique et légale de vos données confiées à un fournisseur Cloud :

A.Évaluez objectivement la sensibilité des données que vous vous apprêtez à faire héberger sur l’infrastructure informatique d’un tiers.

L’évaluation de la sensibilité des données que vous proposez de mettre dans le Cloud est un exercice absolument fondamental à la sécurité de l’opération et à une prise de décision éclairée pour l’usage du Cloud public pour votre entreprise. Pouvez-vous vous permettre la perte, l’accès illicite ou la divulgation, par exemple, de vos données stratégiques, de vos recettes industrielles, du vol de numéros de cartes de crédit de vos clients ou des numéros d’assurance sociale ou des données médicales que vous auriez pu colliger entre autres sur vos employés?

Considérez le Cloud public pour des données de faible à moyenne sensibilité, d’autant que les serveurs informatiques du fournisseur sont offerts en mode multi-locataires et que vous n’êtes pas à l’abri d’une divulgation inattendue de vos données à un colocataire. Sur ce point, vérifiez que votre fournisseur a des mesures concrètes de ségrégation des données entre locataires. Les données de sensibilité critiques sont encore mieux hébergées sur un serveur sécurisé à l’interne, à moins de pouvoir vous payer un Cloud privé à même votre organisation, mais les coûts ne sont plus les mêmes.

B.Exigez l’encryption de vos données pendant le transport et aussi au repos sur les serveurs du fournisseur Cloud.

Vérifiez que le fournisseur protège vos données pendant leur transport sur Internet via le protocole SSL et possède un certificat de haut niveau (le plus élevé étant de 2048 bits). Vérifiez que le fournisseur offre aussi l’encryption des données au repos sur ses serveurs et quelle est la norme applicable, par exemple, la norme AES-256 ou du moins, s’il vous permet d’utiliser des outils externes vous permettant d’encrypter vos données sur ses serveurs...

C.Vérifiez la réputation et les certifications internationales du fournisseur.

« Googlez » le nom de votre fournisseur et vérifiez les derniers incidents rapportés qui le concernent. A-t-il bien réagi et supporté sa clientèle? Est-il critiqué de toute part ou poursuivi par les autorités compétentes?

Examinez avec le plus grand soin les accréditations internationales que possède votre fournisseur. Par exemple de type ISO 27002 sur les contrôles de sécurité des systèmes informatiques ou de type SSAE16 s’il traite pour vous des données financières. Ou mieux encore, s’il détient les toutes nouvelles normes de gestion spécialement édictées en 2014 pour les fournisseurs de services Cloud : soit la norme ISO 27017 relative aux contrôles de sécurité pour les fournisseurs Cloud ou la norme ISO 27018 visant la protection des renseignements personnels par un fournisseur Cloud et qui répond à la majorité des problématiques touchant la protection des renseignements personnels dont vous êtes responsables en tout temps malgré votre impartition dans le Cloud. À tout événement, ces certifications font l’objet d’un audit externe annuel pour être maintenues. Exigez d’en recevoir copie chaque année, quitte à signer une entente de confidentialité avec le fournisseur pour les obtenir. Vous verrez ainsi s’il y a eu des problématiques sur son infrastructure ou sa gestion des incidents en cours d’année.