Article – détails



Article

Les risques de l’informatique en nuage — Partie II

Date

24 février 2011

AUTEUR(s)

George S. Takach


Même si l’obtention de ressources informatiques via le modèle de l’informatique en nuage offre de nombreux avantages (comme un coût relativement bas par rapport à celui d’autres modèles), cette méthode s’accompagne de toute une série de risques à gérer. En cas de négociation d’un contrat avec un fournisseur de services informatiques en nuage, voici les différentes questions dont il vous faut tenir compte.

Où se trouvent vos données?

Vos données seront stockées dans les différents centres de données du fournisseur de services informatiques en nuage. C’est l’un des principes fondamentaux du modèle de l’informatique en nuage. D’où la question suivante : pourrez-vous à tout moment savoir où se trouvent vos données?

Cette question n’est pas sans intérêt ni importance. Si votre organisation appartient à un secteur réglementé ou si, comme une banque ou un hôpital, elle traite les renseignements personnels des clients, non seulement votre chef de la direction et votre conseil d’administration souhaiteront vraisemblablement savoir où se trouvent vos données, mais aussi le gouvernement ou l’organisme public de réglementation.

Recherche et saisie de vos données

Si vous savez précisément où se trouvent vos données dans le système d’informatique en nuage du fournisseur, vous comprendrez mieux les règles de recherche et de saisie (y compris le bref de subpoena et autres lois similaires) de quelle juridiction s’appliquent à vos données. Cette stratégie est particulièrement pertinente si votre entreprise est régulièrement soumise à la vérification d’un gouvernement ou d’un organisme de réglementation.

Ainsi, il importe de savoir avec quelle facilité l’organisme de réglementation (le gouvernement local ou la police) pourra saisir vos données dans le système de votre fournisseur. Si vos données se trouvent aux États-Unis, il serait utile de comprendre l’ampleur des risques liés à la recherche et la saisie de vos données aux termes de la Patriot Act — bien que les risques pourraient être inférieurs à ce que vous pensez qu’ils sont.

Une notification, mais pas un rempart

Quelles que soient les dispositions réglementaires en vigueur dans le ou les pays où se trouvent les centres informatiques du fournisseur de services informatiques en nuage, vous devez respecter un certain processus de notification et d’autres étapes aux termes de la loi canadienne sur la protection des renseignements personnels avant de transférer les données personnelles de vos clients dans un pays autre que le Canada à des fins d’hébergement ou de traitement.

Jusqu’à ce jour, les commissaires à la protection de la vie privée ont interprété les lois sur la protection des renseignements personnels de façon à ne pas empêcher l’envoi à l’étranger des renseignements personnels de Canadiens (quoique sous un strict contrôle juridique ou contractuel). En particulier, le contrat conclu avec le fournisseur de services informatiques en nuage doit stipuler que le fournisseur appliquera des mesures de sécurité exemplaires dans les centres de données concernés. Bien souvent, il s’agit entre autres d’énumérer les normes de sécurité que le fournisseur de services doit respecter. Le contrat doit également prévoir toute une série de dispositions très solides en matière de confidentialité, de protection des renseignements personnels et de sécurité. Pour l’essentiel, vous avez tout intérêt à préciser clairement que toute infraction à la norme prescrite sera considérée comme un manquement du fournisseur de services à ses obligations contractuelles. Le fournisseur de services doit également convenir explicitement de respecter les différentes obligations de la loi sur la protection des renseignements personnels, notamment la disposition notoire qui l’enjoint d’utiliser les renseignements personnels uniquement pour vous offrir le service. Toute autre utilisation sera considérée comme une grave entorse à l’entente.

Limites des responsabilités

L’ajout de promesses appropriées en matière de confidentialité, de sécurité et de protection des renseignements personnels dans votre entente avec le fournisseur de services informatiques en nuage perd de sa pertinence si cette entente prévoit une clause relative à la limite globale de responsabilité. Celle-ci réduit en effet considérablement les dommages-intérêts que vous pouvez réclamer au fournisseur de services si les choses tournent mal et qu’il y a manquement aux obligations contractuelles.

Pour éviter une telle situation, le contrat correspondant prévoit souvent que la clause relative à la limite globale de responsabilité (qui vise des scénarios tels que l’indisponibilité temporaire du service informatique en nuage par suite d’une défaillance imprévue) ne s’applique pas au non-respect des dispositions de l’entente en matière de protection des renseignements personnels, de confidentialité et de sécurité. Autre option : s’il n’est pas complètement écarté de la clause relative à la limite de responsabilité, le non-respect de ces dispositions doit au moins hausser la limite de responsabilité du fournisseur de services informatiques en nuage.

Un service essentiel

De même, il importe de prendre en compte la qualité du service informatique en nuage et les conséquences (non seulement juridiques, mais également pratiques — sur le plan opérationnel) d’une prestation de services inférieure aux promesses initiales du fournisseur.

Par exemple, le fournisseur doit consentir à ce que le service soit opérationnel (et à la disposition de votre personnel) en tout temps ou presque (on parle alors d’un niveau de service de « cinq neuf », car le fournisseur s’engage à offrir le service au complet 99,999 % du temps).

Pour vous donner une garantie solide sur le temps de disponibilité, le fournisseur de services informatiques en nuage doit se doter de plusieurs centres de données et d’un plan pour que ces centres fassent office de site de secours en cas de défaillance de l’un d’entre eux. Par prudence, veillez à ce que l’entreprise dispose bien de ce plan de secours et qu’elle l’évalue régulièrement (au moins une fois par an). Si le fournisseur n’en dispose pas, demandez-vous si vous devriez lui confier vos besoins essentiels en TI.

Si le fournisseur dispose bien d’un plan de secours et qu’il consent à s’engager contractuellement à offrir des garanties raisonnables sur le temps de disponibilité, vous devez néanmoins vérifier que votre entente prévoit bien certaines conséquences si au cours de tel ou tel mois la norme de service requise n’est pas respectée. Dans certains cas, vous obtiendrez un remboursement partiel de vos frais pour le mois en question. Dans d’autres, vous finirez par résilier le contrat assez rapidement. Cela dit, sachez qu’il est plus difficile de changer de fournisseur qu’il n’y paraît. C’est un choix à faire en dernier ressort après avoir épuisé toutes les autres options.

Gestion du verrouillage technologique

Au début de votre relation avec un fournisseur de services informatiques en nuage, demandez-vous bien ce qui arrivera — ou devra arriver — à vos données si vous changez de fournisseur. Si vous prenez les devants, vous éviterez peut-être de vous retrouver dans la situation difficile suivante : apprendre trop tard que le transfert de vos données est une démarche extrêmement coûteuse — ou pire que le nouveau format de données souhaité n’est pas pris en charge par votre fournisseur actuel.

Bien évidemment, vous pouvez toujours remettre ces questions à plus tard, mais il est bien plus prudent de connaître les paramètres du processus — et les coûts afférents — dès le début de la relation.

Un regard dans les coulisses

Autre source de préoccupation avec l’informatique en nuage : les membres de votre personnel de vérification interne (ou vos vérificateurs externes) voudront sans doute être autorisés à se rendre dans les locaux du fournisseur de services informatiques en nuage pour analyser différents aspects de ses activités (comme les mesures de sécurité en place pour s’assurer du respect des normes du contrat).

Les fournisseurs hésitent parfois à ouvrir les portes de leurs locaux aux vérificateurs. Ils craignent à juste titre que l’accès donné à votre personnel entraîne la divulgation d’autres renseignements sur les clients — incident qu’ils doivent éviter à tout prix.

Le compromis consiste en général à permettre aux vérificateurs d’avoir accès aux locaux du fournisseur, mais sous un contrôle strict et une supervision étroite. Même si la tâche n’est pas simple, il faut prendre soin d’intégrer ces conditions dans le contrat à signer.

En conclusion, ne manquez pas de soupeser les avantages du nouveau phénomène de l’informatique en nuage, mais n’oubliez pas de gérer les risques y afférents en intégrant des modifications judicieuses à votre contrat standard avec le fournisseur.

Expertise


Article(s) écrit(s) par cet(te) auteur(e)