Guide pratique - Cloud computing et protection des données
15
•
Faille dans la sécurité des données :
-
disponibilité : perte de maitrise du système d’information et manque de
visibilité sur les dysfonctionnements ;
-
intégrité : risque de perte de données, de destruction, d’altération par erreur
ou malveillance ;
-
confidentialité : risque d’intrusion, d’usurpation ou de non étanchéité entre
les différents utilisateurs ;
-
traçabilité difficile ou impossible des données et des accès ;
-
problème de gestion des droits d’accès…
•
Non maîtrise de la localisation des données et des intervenants ;
•
Incapacité pour le client de répondre en temps et en heure aux requêtes
judiciaires ;
•
Réquisitions judiciaires imposées aux prestataires selon les juridictions
compétentes entraînant une perte de confidentialité et/ou de disponibilité des
données pour le client ;
•
Non-conformité réglementaire, notamment sur les transferts internationaux ;
•
Destructionineffectiveounonsécuriséedesdonnées,ouduréedeconservation
trop longue, au-delà des délais légaux de conservation (sauvegardes,
archives…) ;
•
Sauvegarde ineffective ;
•
Incapacité du client à modifier l’application en cas d’évolution de ses besoins
fonctionnels ;
•
Faille dans la chaîne de sous-traitance impactant le niveau de service ;
•
Indisponibilité du service du prestataire ;
•
Difficulté à tester et à mettre en œuvre un Plan de Continuité d’Activité métier
(
BCP) cohérent avec le DRP (
Disaster Recovery Plan
)
du fournisseur ;
•
Cessation d’activité du prestataire ou acquisition du prestataire par un tiers.
Uneanalysede risquespermet d’identifier lesmesuresdesécuritécomplémentaires
à mettre en place dans l’entreprise au moment de la souscription de l’offre
Cloud
.
Ces mesures peuvent concerner l’entreprise comme le prestataire choisi (cf. page
17
§ Quel impact sur la politique de sécurité interne ?).
Quel
Cloud
pour quel traitement ?
Toutes les solutions de
Cloud Computing
ne sont pas adaptées à tous les types de
données et de traitements dans l’entreprise.
Le choix dumodèle privé ou public, voire partagé, interconnectant environnements
externes et internes à l’entreprise doit prendre en compte, selon Gartner, plusieurs
paramètres :
•
Le calcul des coûts d’exploitation à court et moyen terme,
•
Le niveau de flexibilité recherché,
•
Les besoins de consacrer les ressources internes sur des activités à forte valeur
ajoutée, favorable à l’innovation,
