Pour intégrer avec succès le modèle du cloud computing dans l’entreprise, une approche à trois niveaux doit être privilégiée, à travers principalement la maîtrise des services, la maîtrise des données et la maîtrise des coûts.

Toutefois, une telle approche ne peut être envisagée efficacement que sous réserve de la réalisation en amont d’une analyse des risques rigoureuse et exhaustive et ce, afin d’identifier les principales mesures techniques, juridiques et économiques dont la prise en compte traduirait pour l’entreprise un niveau de sécurité optimale.

L’analyse des risques

L’analyse des risques peut consister, en application par exemple de la méthode Ebios (Expression des besoins d’identification des objectifs de sécurité), à déterminer pour chaque risque identifié, dans un contexte précis (modèle de cloud choisi, traitements impactés, données concernées, etc.), une ou plusieurs mesure(s) adaptée(s) visant à le traiter.

Ainsi, la démarche vise à définir, d’une part, les évènements redoutés et, d’autre part, les menaces qui permettraient à ces évènements de se produire. Une cartographie des risques doit être ensuite réalisée en fonction de la gravité de l’évènement redouté et de la vraisemblance de la menace associée, avec pour objectif de définir une priorité de traitement au moyen d’une mesure ou plusieurs mesure(s) déterminée(s).

Une telle analyse peut ainsi, selon les cas, mettre en lumière les risques suivants : la perte de gouvernance, la dépendance technologique vis-à-vis du fournisseur (impossibilité de changer de solution sans perte des données), la faille dans l’isolation des données (suite à une défaillance du prestataire ou une mauvaise gestion du rôle de l’hyperviseur), les réquisitions judiciaires, les failles dans la chaîne de sous-traitance, les problèmes de gestion des droits d’accès, l’indisponibilité du service, la fermeture du service ou encore la non-conformité réglementaire des transferts internationaux.

La gestion contractuelle des risques

Une fois ce travail effectué, il appartient à l’entreprise de choisir un fournisseur en fonction des garanties qu’il propose dans la mise en place des mesures ainsi identifiées. Toutefois, ce choix peut s’avérer compliqué en pratique. En effet, la majorité des offres de cloud sont standardisées et font l’objet d’un contrat d’adhésion, lesquels ne donnent pas (ou très peu) la possibilité aux clients de les négocier.

Par ailleurs, le Groupe de travail « Article 29 » sur la protection des données, recommande que tous les fournisseurs d’informatique en nuage communiquent « à leurs clients toutes les informations qui leur sont nécessaires pour évaluer correctement les avantages et les inconvénients d’un tel service ». Il précise à cet égard, que « la sécurité, la transparence et la sécurité juridique des clients devraient occuper une place essentielle dans l’offre de services d’informatique en nuage »[1].

Ainsi, avec un minimum de transparence de la part de ces fournisseurs, le recours au benchmark est une solution efficace. Il s’agit alors de comparer les conditions contractuelles (dans la mesure du possible) des différents fournisseurs et ce, à la fois sur le plan technique, juridique et économique.

En d’autres termes, si la gestion du risque est, d’abord, du ressort de l’entreprise qui devrait réaliser une analyse des risques avant d’opérer un choix pour un fournisseur de cloud, sa mise en œuvre suppose également une collaboration active des fournisseurs à travers plus de transparence, voire de flexibilité dans la négociation contractuelle…

By Alexandre Fievée, Counsel chez Elvinger, Hoss & Prussen