Comment choisir son prestataire de cloud computing ?

19-03-2015

Le cloud computing ou l’informatique dans les nuages est vu comme l’architecture de l’Internet de demain. Données et services seront distants, permettant aux entreprises de concilier mobilité, collaboration et travail. Mais choisir un prestataire de cloud, c’est aussi faire face à de nombreuses questions : Où seront localisées physiquement les données ? Quelle confidentialité ? Quelle continuité de service ?

Si certaines offres de Cloud computing proposent des niveaux de sécurité et de confidentialité dont ne disposent pas les PME actuelles, il est important de pouvoir analyser l’offre. La CNIL (Commission Nationale Informatique et Liberté) a énuméré quelques recommandations pour les entreprises souhaitant sélectionner un prestataire cloud

Identifier clairement les données et les traitements qui passeront dans le Cloud

Quelles sont les données destinées à aller dans le Cloud ? Quelles sont les données qui iront indirectement dans le cloud ? Dans le cadre d’une messagerie hébergée dans le cloud, toutes les pièces jointes que les salariés échangeront iront aussi dans le cloud, qu’il s’agisse de données stratégiques pour l’entreprise ou pas.

L’entreprise doit identifier clairement les données et applications destinées à intégrer le Cloud et celles qui exigent d’être conservées en interne. Question qui peut paraître banale. Pourtant, une messagerie hébergée dans le Cloud peut indirectement contenir les données stratégiques de l’entreprise que se sont échangées les salariés.

Définir ses propres exigences de sécurité technique et juridique

Les offres Cloud actuelles ne répondent pas directement à un cahier des charges spécifiques, mais sont basées sur une offre plutôt généraliste. Toute entreprise doit déterminer ses propres exigences de sécurité technique et juridique avant de souscrire à un service de cloud :

  • Ses contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.) ;
  • Ses contraintes pratiques (disponibilité, réversibilité/portabilité, etc.) ;
  • et ses contraintes techniques (interopérabilité avec le système existant, etc.).

Enfin, dans le cadre de données essentielles à l’activité de l’entreprise, il faut particulièrement veiller à leur disponibilité (Durant combien de temps pouvez-vous vous passer de ces données ?) et à leur réversibilité (c’est-à-dire à la possibilité de les récupérer et de les faire migrer chez un autre prestataire par exemple). Ceci à la fois tant pour le prestataire de cloud, que pour le fournisseur d’accès à internet.

Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

La CNIL a identifié un certain nombre de point de vigilance face à des risques potentiels :

  • La perte de gouvernance sur le traitement ;
  • La dépendance technologique vis-à-vis du fournisseur de Cloud Computing
  • la faille dans l’isolation des données et le risque que les données rendues accessibles à des tiers non autorisés,
  • les réquisitions judiciaires, notamment par des autorités étrangères ;
  • la faille dans la chaîne de sous-traitance, dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service ;
  • La destruction ineffective ou non sécurisée des données
  • le problème de gestion des droits d’accès par les personnes causé par une insuffisance de moyens fournis par le prestataire ;
  • l’indisponibilité du service du prestataire
  • la fermeture du service du prestataire ou acquisition du prestataire par un tiers ;
  • la non-conformité réglementaire, notamment sur les transferts internationaux.

Identifier le type de Cloud pertinent pour les données et applications envisagées

Il existe plusieurs modèles de services et de déploiement de cloud.

Les modèles de services sont les suivants :

  • SaaS : « Software as a Service » : la fourniture de logiciel en ligne ;
  • PaaS : « Platform as a Service » : la fourniture d’une plateforme de développement d’applications en ligne ;
  • IaaS : « Infrastructure as a Service » : la fourniture d’infrastructures de calcul et de stockage en ligne.

Les modèles de déploiement sont les suivants :

  • « Public » quand un service est partagé et mutualisé entre de nombreux clients ;
  • « Privé » quand le Cloud est dédié à un client
  • « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.

Par ailleurs, certaines données sont soumises à des réglementations spécifiques. Ainsi les factures dématérialisées doivent être hébergées sur des serveurs localisé en France. Les données de santé ne peuvent être stockées que par un hébergeur de données de santé agréé par le Ministère de la santé. Il convient donc d’identifier le type de Cloud le plus pertinent au regard des données traitées et des besoins de l’entreprise.

Choisir un prestataire Cloud présentant des garanties suffisantes

Il est important, dans le choix du prestataire de Cloud, de connaitre, en toute transparence les mesures de sécurité et de confidentialité qui sont mises en œuvre, ainsi que les moyens utilisés (transfert ou pas de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.)

Surveillez les évolutions dans le temps

Rien n’est figé ! Surveillez ce que devient votre prestataire, comment évolue sa philosophie, quels sont les nouveaux outils qui apparaissent et quels sont vos nouveaux besoins !

Source :

La CNIL (Commission Informatique et Liberté ) 

Retrouvez l'ensemble de nos formations dédiées au Cloud computing