RESEAU TELECOM NETWORK N 63 26 Juin/Juillet 2013

!"#$%!%&'&()*&+,
A
insi, de plus en plus de socits et dindivi-
dus font appel des services qui leur sont
dlivrs sous forme de cloud computing, en
en ayant conscience ou non : des services de
mails, de gestion/stockage de documents, etc.
Linformation prsente sur des supports phy-
siques tels les ordinateurs ou les cls USB se d-
place inexorablement vers le web avec des services
comme Gmail, Google Docs, Dropbox, Flickr. La
grande majorit des utilisateurs ne se posent pas/
plus la question de la localisation de leurs don-
nes, et de la faon dy accder ; le cloud, laccs
Internet haut dbit xe ou mobile permet davoir
leurs donnes porte de main.
La nature mme du cloud computing (une
gestion plus souple de linformatique avec ajus-
tement du service la hausse ou la baisse et une
facilit/rapidit de mise en uvre, un accs des
ressources hardware dans un laps de temps
relativement court, pour peu ou pas dinvestis-
sement pour les utilisateurs) a pour corollaire
une mutualisation des ressources informatiques.
Celle-ci a pour eet de modier la faon dabor-
der linformation qui y rside, que ce soit en
termes de proprit de cette information ou
daccs aux donnes associes, et ce dautant plus
que certains fournisseurs de services sappuient
sur des acteurs majeurs du stockage ou du cloud
computing comme Amazon Web Services, Microsoft
Windows Azure ou Google App Engine an de pro-
poser leur ore de service.
Le c|o0d et |a protect|oo des doooes
La question de la proprit des donnes est un
exemple emblmatique: un mme jeu dinforma-
tions qui appartient un individu sur un support
physique peut lui chapper en partie lorsquil est
import dans le fameux nuage, autant du fait des
conditions gnrales dutilisation que de la loi ap-
plicable ladite utilisation. Ainsi Facebook prcise
dans ses conditions dusage (Terms of Service) que
tout contenu stock dans la plateforme (images,
vidos, documents, etc.) donne au gant des r-
seaux sociaux un droit temporaire (auparavant
perptuel) et non exclusif dutiliser ledit contenu,
que ce soit pour le publier aux membres du r-
seau ou pour lutiliser des ns publicitaires. De
mme, un service de stockage comme Dropbox ou
!"#$%&'()"* ,-"./ 0'1"(."-1 #223('4 56"17'$7 &#18".2/ 9"#1'$7:3'$.
;#1'< =2)1#>/ 6#$#7"1/ 9"#1'$7:3'$.
!" $%&'( ")* %+,-&'*.))"/"0* (+'0 /&'1"/"0* (" 2&0(
1"3) %, )./4%.2.$,*.&0 "* %, (5/,*53.,%.),*.&0 (") )"31.$")
.02&3/,*.6'")7 !" 89 ,1,.* 3,443&$:5 %") /&;"0)
.02&3/,*.6'") (") '*.%.),*"'3)< /,.) "0 ,1,.* ,')). ./4&)5
%, $&/4%"=.*5 > *&'* '0 $:,$'0 ? %" $%&'(< %'.< 4"3/"* "02.0
(" 0" $&0)"31"3 6'" %+'),@"7 !, -&'$%" )"3,.* (&0$ -&'$%5"7
0|o0d et protect|oo des
doooes : 0oe cohab|tat|oo
coostr0|re
N 63 RESEAU TELECOM NETWORK Juin/Juillet 2013 27
!"#!$%"&
Skydrive propose non pas un service de stockage
de donnes, mais un accs des donnes stoc-
kes (qui savrent tre celles de lutilisateur). La
nuance tant importante car dans ce cas la pro-
prit des donnes chappe la personne utili-
satrice du service, toute perte de donnes tant
hors du champ de responsabilit du fournisseur
de services, qui se rserve le droit de retirer laccs
aux donnes.
Cette problmatique est dautant plus impor-
tante quil nexiste pas ou peu dentreprises sans
cloud. En eet, la dmocratisation des services
cloud a pour consquence de faciliter un recours
direct ces services, sans passer par le service
informatique. Les utilisateurs naux souscrivent
facilement des services titre personnel, avec en
premier lieu des services de stockage ou de bac-
kup cloud, mais aussi des services lis la relation
client. Ainsi, des populations averties comme les
dveloppeurs informatiques utilisent lInfrastruc-
ture as a Service ou les Platform as a Service pour
tester leurs solutions et les hberger.
L'lntormatlon prsente
sur oes supports pby-
slques tels les orolna-
teurs ou les cls US8 se
oplace lneorablement
vers le web.
...
RESEAU TELECOM NETWORK N 63 28 Juin/Juillet 2013
!"#$%!%&'&()*&+,
|| est esseot|e| d'|otgrer daos |es c|a0ses
cootract0e||es des ob||gat|oos Iortes eo mat|re
de d|spoo|b|||t, d'|otgr|t et de coohdeot|a||t.
!"#$%&'()%&* ",* -& .#/%&"* 0" .)&,"%1 %&023"&0#&* 0)&* 1" .4-$ 0"
52*%"$ ",* 1" !"#$%&## ()%#"*+$%,6 71 ,8#33-%" ,-$ 1# 0)-/1" .)532*"&."
0" ,", .)&,-1*#&*, "& 5#&#'"5"&* "* "& *".9&)1)'%"6 :&%52, 3#$ -&
;2$%*#/1" ",3$%* "&*$"3$"&"-$%#1 "* .)11#/)$#*%<= &), >?@@ .)&,-1*#&*,
,)&* "&'#'2, A .$2"$ 0" 1# ;#1"-$ "* A )/*"&%$ 0", $2,-1*#*, .)&.$"*,= #-B
cles de Ieuis cIienls. IIs inleiviennenl de Ia dehnilion de Ia slialegie
C-,D-8A 1# 5%," "& 4-;$" 0", 3$)C"*, 0" *$#&,<)$5#*%)&6 E)-, <#%,)&,
&F*$", 1", 3$%)$%*2, 0" &), .1%"&*,= .8",* 3)-$D-)% 0"3-%, 31-, 0" 0%B
#&, 1", 0"-B *%"$, 0" 18G-$),*)BB H@ "* 1", 31-, '$#&0", #05%&%,*$#*%)&,
nous fonl conhance.
I82D-%3" 0" 1# 0%$".*%)& -.&/,$%, 01/2&+# 0" !"#$%&'()%&* #33)$*" ,)&
#,,%,*#&." #-B 0%$".*%)&, %&*"$&#*%)&#1", "* /-,%&",, 02;"1)33"5"&*
des giandes enliepiises euiopeennes, a Ieuis hIiaIes, aux enliepiises
0", 3#J, 25"$'"&*, #%&,% D-8#-B ')-;"$&"5"&*,6
!"#$%&'()%&* ",* 3$2,"&* #- K#$). ;%# ,", 5%,,%)&, 0"3-%, 1", #&&2",
LMM@= "* # )-;"$* -& /-$"#- A N#,#/1#&.# "& ?@LL6
()-$ 0" 31-, #531", %&<)$5#*%)&, O PPP6/"#$%&'3)%&*6<$
La protection des donnes est un sujet sen-
sible qui prend tout son sens dans le monde nu-
mrique et celui du cloud. En eet, la notion de
territorialit et de lois applicables devient moins
claire avec des fournisseurs de services bass hors
des pays de leurs clients. Ainsi, le 4
me
amende-
ment amricain, qui protge les donnes person-
nelles, est battu en brche lorsque ces donnes
sont cones un tiers. Ce sujet est particulire-
ment sensible pour les Amricains, qui essayent
dobtenir davantage de contrle des donnes col-
lectes dans le cadre de la lutte contre le terro-
risme sous le Patriot Act. Ils ont ainsi obtenu que
des gants de linternet comme Google, Yahoo ou
Microsoft rduisent la dure de stockage de cer-
taines informations.
Le mme service en Europe fait dsormais
lobjet dune approche dirente, avec une direc-
tive europenne sur la protection des donnes qui
sest adapte aux nouveaux usages de linternet
an de mieux encadrer la collecte de donnes is-
sue des rseaux sociaux, ainsi que le ciblage publi-
citaire pour les Europens utilisateurs de services
bass hors de leurs frontires.
0|o0d pr|v, c|o0d p0b||c.
Au-del des lments rglementaires, il reste
que le recours au cloud doit se faire dans le cadre
dune rexion globale an de segmenter son
usage au regard du type de donnes et de leur
utilisation. Car si lon parle de cloud computing
au sens large, plusieurs options existent, tels les
clouds publics ou privs, avec des natures et des
niveaux de services dirents. Le cloud public re-
couvre les services de stockage et dapplications
accessibles via le rseau Internet. Ce modle re-
pose sur la disponibilit en ligne des applications
et des donnes, ces dernires tant gres par le
fournisseur de cloud, sans visibilit pour le client
sur les modalits de conservation. A linverse,
certains fournisseurs de solutions mtiers pro-
posent des ores cls en main qui reposent sur
une infrastructure de type cloud. Ces solutions
intgres sont hberges sur linfrastructure pri-
ve du fournisseur de service, mais lusage de ces
infrastructures reste partag entre plusieurs en-
treprises clientes, dans un nombre limit : cest
ce quon appelle un cloud priv. Ds lors, plu-
sieurs questions sont adresser avant daccder
la facilit du cloud, dont la nature des donnes et
traitements susceptibles de migrer vers le cloud
(stratgique, personnelle ou mtier), les risques
matriser, ou encore les consquences sur la poli-
tique de scurit interne.
Ainsi, transfrer des donnes stratgiques et/
ou personnelles vers un service cloud public est
un usage inadapt du cloud en entreprise ; il est
prfrable de sen tenir une infrastructure pri-
ve. Quoi quil en soit, lentreprise doit intgrer
la protection des donnes dans le contrat conclu
avec le fournisseur. Il est essentiel dintgrer dans
les clauses contractuelles des obligations fortes
en matire de disponibilit, dintgrit, de con-
La problmatique de la protection
des donnes est dautant plus
importante quil nexiste pas ou peu
dentreprises sans cloud.
...
N 63 RESEAU TELECOM NETWORK Juin/Juillet 2013 29
!"#$%!%&'&()*&+,
dentialit, conformits exiges par lentreprise, ses
clients, mais aussi les rgulateurs.
Les oprate0rs, gard|eos des doooes
de |e0rs c||eots ?
Il reste toutefois que faire varier de la clause stan-
dard auprs de fournisseurs dune certaine taille,
trangers de surcrot, relve de lexploit, les condi-
tions de service tant rigides et peu protectrices.
Cest dans ce cadre que plusieurs initiatives ont
t lances sous lgide dacteurs europens et na-
tionaux qui ont pour but dagir comme des tiers
de conance auprs des utilisateurs. Si ces initia-
tives sont plus tardives que celles existantes sur le
march, elles misent sur une approche plus qua-
litative base sur une grande transparence quant
aux conditions de service. Ainsi, plusieurs projets
de cloud computing europens ont t lancs sous
lgide des oprateurs tlcoms, tels que Cloud-
watt avec Orange ou Numergy pour SFR, avec des
data centers bass en Europe, mettant en avant le
respect des donnes des clients (entreprises) et de
leurs clients naux.
Les acteurs comme les oprateurs tlcoms
adoptent ainsi une approche de tiers de conance,
gardiens des donnes de leurs clients entreprise
ou grand public, avec la gestion de lidentit
numrique pour ces derniers. Ainsi, face des
acteurs web qui btissent leur business model sur la
collecte des donnes personnelles, les oprateurs
pourraient prendre la posture inverse en tant les
gardiens de lidentit numrique de leurs clients,
en proposant un service de gestion de leurs don-
nes personnelles an de donner aux clients la
matrise de leur identit et de la condentialit
de leurs donnes.
En tant quintermdiaire tiers de conance,
loprateur permettrait aux clients dapprhender
les risques lis la fourniture de leurs donnes sur
le web, et leur donnerait les leviers de matrise de
celle-ci.
Face a oes acteurs web
qul btlssent leur 5us|ness
mode| sur la collecte oes
oonnes personnelles,
les oprateurs pour-
ralent prenore la posture
lnverse en tant les gar-
olens oe l'loentlt num-
rlque oe leurs cllents.