L’adoption du cloud permet aux entreprises de devenir plus agiles. Mais, pour des raisons de sécurité, certaines d’entre elles ne souhaitent pas encore se tourner vers cette solution. En effet, selon l’étude du Cloud Industry Forum, 61% des décideurs voient dans la sécurité le frein numéro un à l’adoption des services cloud, et la majorité d’entre eux est inquiète face à la problématique de la protection des données personnelles.
Ces risques exposent par exemple les entreprises à des atteintes à l’e-réputation, des usurpations d’identité, des moyens de paiement, ou encore le piratage informatique des données.
Ce sentiment d’insécurité vient aussi du manque de connaissance des nouvelles normes sur la protection des données. En effet, selon l’étude Kroll Ontrack & Blancco, 80% des responsables informatiques en France ne sont pas informés du prochain règlement de l’UE sur la protection des données. Et selon un sondage d’Ipswitch, Inc (disponible courant Mars), 52% des sondés ont répondu ne pas être prêts pour ce règlement.
Et pourtant, le règlement européen vient d’être annoncé à la 9eme université des CIL organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) : le GDPR (General Data Protection Regulation) sera effectif d’ici fin 2015.
Le GDPR va modifier le cadre juridique relatif à la protection des données personnelles au sein de l’union européenne. Il impactera toutes les entreprises collectant, gérant, ou stockant des données et aura pour but principal de simplifier et harmoniser la protection des données dans les 28 pays de l’union européenne. Pour le stockage et le traitement des données, le GDPR clarifiera les responsabilités de chaque entreprise en contact avec les données, facilitant ainsi la mise en conformité. Parmi les mesures phares : le droit à l’oubli, des sanctions plus strictes, l’obligation pour les entreprises de communiquer sur les cyber-attaques dont elles ont été victimes, l’importance de la conformité dès la conception d’un service/outil, le guichet unique au sein des entreprises qui sera en charge des discussions afin d’aboutir à une codécision avec effets juridique dans toute l’Europe.
Dès qu’il sera mis en place, toutes les entreprises traitant des données concernant des résidents de l’Union Européenne devront supprimer les informations personnelles sur demande ou lorsqu’elles ne sont plus utilisées.
Pour les craintes liées à la sécurité, le risque est d’abord un problème de perception car il concerne autant les environnements Cloud qu’on-premise. Il faut donc que les entreprises qui souhaitent contracter avec un fournisseur cloud s’engagent dans un processus de définition de cette gestion externalisée et rédigent précisément leur contrat de service. Elles ne peuvent plus se contenter d’une relation traditionnelle client-prestataire et doivent être proactives. Ce contrat devra par exemple contenir une clause d’auditabilité, de limitation des responsabilités, de confidentialité et non divulgation, de réversibilité.
L’étude et l’analyse des Conditions Générales de Vente (CGV) sont cruciales dans le choix d’un prestataire de Cloud. Ces CGV sont rarement passionnantes, souvent hermétiques mais jamais accessoires.
Si une externalisation dans le cloud est bien gérée, c’est-à-dire bien contractualisée, elle peut alors garantir une meilleure sécurité que celle fournie par les infrastructures.
Cet article vous est présenté par l’ADN du Cloud, Intel et Orange