Que pouvez-vous exiger de votre prestataire Cloud ?
Pendant longtemps, l’idée de « sortir » le système d’information des murs de l’entreprise était inconcevable et même s’il subsiste encore des craintes liées à la sécurisation des données, le Cloud s’est aujourd’hui largement répandu. Mais si les grands groupes disposent en interne d’une DSI et d’un service juridique capables de verrouiller leurs contrats fournisseurs, les PME doivent quant à elles bien souvent mettre les mains dans le cambouis…
Que doit couvrir exactement votre contrat d’hébergement Cloud en termes de sécurité, de localisation des données ? Quelles garanties pouvez-vous exiger de votre partenaire ?
Qu’êtes-vous en droit d’attendre de votre prestataire hébergeur Cloud ?
Le passage au Cloud demande une approche rigoureuse en termes de sécurité technique. Si le but du Cloud est de vous décharger de certaines tâches opérationnelles, vous devez veiller à ce que le prestataire vous propose un niveau d’exigences au moins égal au vôtre.
Exigez de la transparence de la part de votre fournisseur : fait-il appel à de la sous-traitance ? Quels moyens met-il en place pour assurer la sécurité et la confidentialité de vos données ?
En effet, les offres dites « standard » peuvent être attractives au premier abord mais ne répondent pas forcément à vos besoins ni à vos exigences particulières. Il vous faut donc évaluer la pertinence de ces offres au regard de votre métier et de votre environnement. La meilleure option reste encore la rédaction d’un cahier des charges, en amont de votre contrat d’hébergement Cloud, stipulant très précisément vos attentes en termes de garanties telles que :
- Les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données…)
- Les contraintes pratiques (disponibilité, réversibilité …)
- Et les contraintes techniques (interopérabilité avec le système existant…)
Au-delà de vos propres exigences, le prestataire doit s’assurer de votre conformité en matière de protection des données et de respect des obligations au regard de la Loi Informatique et Libertés, notamment en termes d’encadrement des transferts et de sécurité des données.
Ces engagements doivent être formalisés dans le contrat d’hébergement Cloud, qui n’est autre qu’un contrat de prestation de services.
Parmi les garanties techniques que doit vous fournir votre prestataire :
- Le niveau de sécurité de la plateforme et des équipements sur lesquels vous hébergez vos données et vos applications métiers.
- L’accès à un service d’hébergement de qualité pour assurer la disponibilité de la plateforme et donc la continuité de votre activité, appelé SLA (Service Level Agreement).
- La mise en place de tous les moyens permettant d’assurer le maintien en condition opérationnelle de la plateforme (si vous avez souscrit à une offre d’infogérance) du type monitoring.
- La mise aux normes des protocoles de sécurité en fonction de l’apparition de nouvelles technologies et des nouveaux usages comme les smartphones (authentification, accès sécurisé…)
Rendre disponible vos applicatifs métier en stockant et partageant vos données en toute sécurité
Quant aux garanties juridiques, veillez à ce que votre prestataire vous informe de :
- La durée de conservation de vos données.
- La réversibilité des données : au terme du contrat, vous récupérez l’ensemble de vos données et votre fournisseur s’engage à ne conserver aucune copie.
- L’information sur la localisation de vos données et si ces dernières sont hébergées à l’étranger, votre prestataire doit se soumettre aux requêtes des administrations étrangères.
Pour aller plus loin, retrouvez les recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services d’hébergement Cloud.