Close iconRestez informé des nouveautés Syxperiane

Vous êtes:  Monsieur Madame

ETES-VOUS AU CLAIR AVEC VOTRE CONTRAT CLOUD ?

Accueil / ETES-VOUS AU CLAIR AVEC VOTRE CONTRAT CLOUD ?

QUE POUVEZ-VOUS EXIGER DE VOTRE PRESTATAIRE CLOUD ?

Pendant longtemps, l’idée de « sortir » le système d’information des murs de l’entreprise était inconcevable et même s’il subsiste encore des craintes liées à la sécurisation des données, le Cloud s’est aujourd’hui largement répandu. Mais si les grands groupes disposent en interne d’une DSI et d’un service juridique capables de verrouiller leurs contrats fournisseurs, les PME doivent quant à elles bien souvent mettre les mains dans le cambouis…

cloud syxperiane

 

Que doit couvrir exactement votre contrat d’hébergement en termes de sécurité, de localisation des données ? Quelles garanties pouvez-vous exiger de votre partenaire ?

Quel Cloud pour quels besoins ?

Rappelons au préalable que le terme Cloud fait référence à un mode de connexion, et non pas à l’architecture technique de la plateforme d’hébergement.

Le cloud public

Géré par un fournisseur type Amazon, le Cloud public permet à plusieurs utilisateurs de se connecter à leurs données et leurs applications via Internet. Les utilisateurs partagent les mêmes ressources informatiques : serveur de stockage, bande passante…

Avec des prix d’appel très agressif, le Cloud public est très attractif. En revanche, comme il est fort probable que vous ne lirez pas les CGV / CGU, vous ne verrez donc pas que vos données cohabiteront avec celles de vos concurrents, qu’elles seront stockées aux Etats-Unis (qui a oublié le chapitre « réversibilité ») et que vous serez des milliers utiliser à le même équipement, entraînant quelques soucis de performance. Mais si vous ne produisez pas de données sensibles et que vous utilisez des applications assez peu gourmandes, alors c’est une solution toute indiquée.

Le Cloud privé

Hébergé par un prestataire ou au sein d’une entreprise , le Cloud privé permet de réserver aux utilisateurs d’une même entreprise un accès unique et hautement sécurisé à leurs données et leurs applications.

Si en revanche, vos données sont stratégiques et que vous utilisez des applications type ERP, mieux vaut se tourner le Cloud privé qui garantit un niveau élevé de sécurité, de confidentialité, de redondance ou de localisation des données. Le coût ne sera certes pas le même mais non seulement vous aurez une solution correspondant parfaitement à vos besoins mais vous pourrez également vous appuyer sur une qualité de services à la hauteur de votre investissement.

Le Cloud hybride

Le Cloud hybride est comme son nom l’indique, un mixte du Cloud privé et du Cloud public. Il permet soit de gérer un pic d’activité pour absorber un besoin en ressources ponctuel ; soit de faire des économies en hébergeant, dans le Cloud Public, les données et les applications ne nécessitant pas de politique de sécurité élevée, et dans le Cloud privé celles dont le niveau de criticité est important.

 

Qu’êtes-vous en droit d’attendre de votre prestataire ?

Le passage au Cloud demande une approche rigoureuse en termes de sécurité technique. Si le but du Cloud est de vous décharger de certaines tâches opérationnelles, vous devez veiller à ce que le prestataire vous propose un niveau d’exigences au moins égal au vôtre.

contrat cloud syxperiane

Exigez de la transparence de la part de votre fournisseur : fait-il appel à de la sous-traitance ? quels moyens met-il en place pour assurer la sécurité et la confidentialité de vos données ?

En effet, les offres dites « standards » sont attractives mais ne répondent pas à vos besoins ni à vos exigences particulières. Il vous faut donc évaluer la pertinence de ces offres au regard de votre métier et de votre environnement. La meilleure option reste encore la rédaction d’un cahier des charges stipulant très précisément vos attentes en termes de garanties telles que :

  • les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données…)
  • les contraintes pratiques (disponibilité, réversibilité …)
  • et les contraintes techniques (interopérabilité avec le système existant…)

Au-delà de vos propres exigences, le prestataire doit s’assurer de votre conformité en matière de protection des données et de respect des obligations au regard de la Loi Informatique et Libertés, notamment en termes d’encadrement des transferts et de sécurité des données.

Ces engagements doivent être formalisés dans les contrats de prestation de services.

Parmi les garanties techniques que doit vous fournir votre prestataire :

  • Le niveau de sécurité de la plateforme et des équipements sur lesquels vous hébergez vos données et vos applications métiers
  • L’accès à un service d’hébergement de qualité pour assurer la disponibilité de la plateforme et donc la continuité de votre activité, appelé SLA (Service Level Agreement)
  • La mise en place tous les moyens permettant d’assurer le maintien en condition opérationnelle de la plateforme (si vous avez souscrit à une offre d’infogérance) du type monitoring
  • La mise aux normes des protocoles de sécurité en fonction de l’apparition de nouvelles technologies et des nouveaux usages comme les smartphones (authentification, accès sécurisé…)

Quant aux garanties juridiques, veillez à ce que votre prestataire vous informe de :

  • La durée de conservation de vos données
  • La réversibilité des données : au terme du contrat, vous récupérez l’ensemble de vos données et votre fournisseur s’engage à ne conserver aucune copie
  • L’information sur la localisation de vos données et si ces dernières sont hébergées à l’étranger, votre prestataire doit se soumettre aux requêtes des administrations étrangères

Pour plus d’information, consultez le document de la CNIL