Auris Solutions : Cabinet de Conseil en Stratégie Numérique

Recommandations de la CNIL sur les services Cloud Computing

Recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud Computing (1/2)

Recommandation n°1 : Identifier clairement les données et les traitements dans le périmètre du Cloud :

Il convient principalement d’identifier quels types de données pourraient être concernés en distinguant :

  • les données à caractère personnel ;
  • les données sensibles au sens de la Loi Informatique et Libertés ;
  • les données stratégiques ;
  • les données utilisées dans les applications métiers.

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique :

Les exigences doivent comprendre l’ensemble des points importants tels que notamment :

  • les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.) ;
  • les contraintes pratiques (disponibilité, réversibilité, etc.) ;
  • et les contraintes techniques (interopérabilité avec le système existant, etc.).

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise :

Les principaux risques identifiés par la CNIL sont les suivants :

  • perte de gouvernance sur le traitement ;
  • dépendance technologique vis-à-vis du fournisseur de Cloud Computing ;
  • faille dans l’isolation des données ;
  • faille dans la chaine de sous-traitance, dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service ;
  • destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue ;
  • problème de gestion des droits d’accès par les personnes causé par une insuffisance de moyens fournis par le prestataire ;
  • indisponibilité du service du prestataire, ce qui comprend indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux) ;
  • fermeture du service du prestataire ou acquisition du prestataire par un tiers ;
  • non-conformité règlementaire, notamment sur les transferts internationaux.

Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé :

Les modèles de services sont les suivants :

  • SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne ;
  • PaaS : «Platform as a Service», c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ;
  • IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne.

Les modèles de déploiement sont les suivants :

  • « Public » quand un service est partagé et mutualisé entre de nombreux clients ;
  • « Privé » quand le Cloud est dédié à un client ;
  • « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.

Merci à Maître Pétrone pour cette communication.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


_____________


Avant d'être uberisé,
apprenez à décoder les

17 règles de l'économie numérique


Catégories

Nous respectons la RGPD