Recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud Computing (1/2)
Recommandation n°1 : Identifier clairement les données et les traitements dans le périmètre du Cloud :
Il convient principalement d’identifier quels types de données pourraient être concernés en distinguant :
- les données à caractère personnel ;
- les données sensibles au sens de la Loi Informatique et Libertés ;
- les données stratégiques ;
- les données utilisées dans les applications métiers.
Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique :
Les exigences doivent comprendre l’ensemble des points importants tels que notamment :
- les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.) ;
- les contraintes pratiques (disponibilité, réversibilité, etc.) ;
- et les contraintes techniques (interopérabilité avec le système existant, etc.).
Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise :
Les principaux risques identifiés par la CNIL sont les suivants :
- perte de gouvernance sur le traitement ;
- dépendance technologique vis-à-vis du fournisseur de Cloud Computing ;
- faille dans l’isolation des données ;
- faille dans la chaine de sous-traitance, dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service ;
- destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue ;
- problème de gestion des droits d’accès par les personnes causé par une insuffisance de moyens fournis par le prestataire ;
- indisponibilité du service du prestataire, ce qui comprend indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux) ;
- fermeture du service du prestataire ou acquisition du prestataire par un tiers ;
- non-conformité règlementaire, notamment sur les transferts internationaux.
Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé :
Les modèles de services sont les suivants :
- SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne ;
- PaaS : «Platform as a Service», c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ;
- IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne.
Les modèles de déploiement sont les suivants :
- « Public » quand un service est partagé et mutualisé entre de nombreux clients ;
- « Privé » quand le Cloud est dédié à un client ;
- « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.
Merci à Maître Pétrone pour cette communication.