Vous êtes sur la page 1sur 40

CIGREF - IFACI - AFAI - Mars 2013

2
CIGREF-IFACI-AFAI Paris, mars 2013
Toute reprsentaton ou reproducton, intgrale ou partelle, faite sans le consentement de lauteur,
ou de ses ayants droits, ou ayant cause, est illicite (loi du 11 mars 1957, alina 1er de lartcle 40).
Cete reprsentaton ou reproducton, par quelque procd que ce soit, consttuerait une contrefaon
sanctonne par les artcles 425 et suivants du Code Pnal.
Guide pratque
latenton des directons gnrales et opratonnelles
Guide pratique - Cloud computing et protection des donnes
3
Sommaire
Sommaire
Avant-propos
Synthse
Prambule
Termes cls
- Modles de services
- Les principaux types de Cloud proposs
- Cloud gr en interne et usage priv (Type 1)
- Cloud gr en externe et usage priv, souvent qualif de cloud priv
par les fournisseurs (Type 2)
- Cloud gr en interne et usage ouvert (Type 3)
- Cloud gr en externe et usage ouvert (Type 4)
- Typologie des donnes
Bonnes pratques
- Gouvernance de la protecton des donnes
- Questons se poser avant de souscrire une ofre Cloud
- Recommandatons contractuelles relatves la protecton des donnes
- Mise en oeuvre et pilotage de la protecton des donnes
Annexes
- Annexe 1 : Objectfs de contrle
- Annexe 2 : Normes, certfcatons
- Annexe 3 : Exemple de clause daudit
Bibliographie
- Recommandatons
- Ouvrages / Publicatons
- Colloques / Confrences
- Artcles
3
4
5
6
7
7
8
9
9
9
10
11
12
12
13
17
20
23
23
25
33
36
36
36
38
38
G
U
I
D
E

P
R
A
T
I
Q
U
E


C
l
o
u
d

c
o
m
p
u
t
n
g

e
t

p
r
o
t
e
c
t
o
n

d
e
s

d
o
n
n

e
s
CIGREF - IFACI - AFAI - Mars 2013
4
Avant-Propos
Le prsent document Cloud Computng et protecton des donnes est le fruit dun
travail collectf qui a mobilis trois associatons : le CIGREF, lIFACI et lAFAI, pendant six
mois, avec les contributons des personnes suivantes :
Paralllement aux travaux mens sur la protecton des donnes en Cloud Computng
(objet du prsent document), le CIGREF a conduit des travaux plus techniques sur le
Cloud Computng. Les quatre typologies de Cloud Computng reprises dans les pages
suivantes sont issues des rfexions de ce second groupe de travail CIGREF.
Pour Cloud Computng : Informatque en nuage
Pour SaaS : Sofware as a Service : logiciel la demande
ANTONINI
BOUTEILLER
BOUTIN
DELAYAT
GARCIA
GUIHEUX
HERVIAS
KI-ZERBO
LE ROUX
MALAGOLI
MENCEL
NICOLAS
SZNIKIES
Pascal
Sophie
Mathieu
Rgis
Christne
Henri
Philippe
Batrice
Yves
Frdric
Marc
Guy
Olivier
Ernst & Young - Prsident de lAFAI
CIGREF
CIGREF
SCOR Administrateur du CIGREF et de lAFAI
Renault
SCOR
Sanof
Batrice
CA
Ernst & Young
Nexter Group
Nexans
Lafarge
Lexpression franaise...
Guide pratique - Cloud computing et protection des donnes
5
Synthse
Avec la rvoluton numrique, linformaton est devenue lune des principales
richesses de lentreprise, conditon toutefois quelle soit matrise, cest--dire
collecte, valide, stocke, scurise, aisment accessible aux seules personnes
intresses, traite et agrge pour des prises de dcision avises. La protecton
de cete informaton est au cur des proccupatons des entreprises. Cest
une problmatque en soi, tous les jours un peu plus prgnante, du fait du
dveloppement plthorique des donnes, structures et non structures, et du
renforcement des contraintes rglementaires. Le contexte spcifque du Cloud,
o les donnes sont hberges lextrieur de lentreprise, exacerbe cete
proccupaton.
Le mouvement vers le Cloud semble inluctable, il ne sagit pas ici de sy opposer,
mais dalerter et dinciter les entreprises qui font ce choix, de le faire avec la
certtude que leurs donnes seront correctement protges. Le CIGREF, lIFACI et
lAFAI se sont conjointement mobiliss pour concevoir ce guide, dont lobjectf
est de sensibiliser tous les acteurs de lentreprise, et en partculier les dirigeants,
directeurs Mters, auditeurs, la problmatque de la protecton des donnes,
personnelles et sensibles, dans les projets Cloud. Le groupe de travail a runi des
reprsentants des trois associatons, issus de DSI, de directons de laudit interne,
et de cabinets daudit et de conseil.
Lapproche commune sartcule autour de quatre messages cls :
Le Cloud prsente de nombreux avantages dagilit, de souplesse et de
rducton des cots, mais lofre actuelle de Cloud est susceptble dexposer les
entreprises des risques sur leurs donnes
Il est important de sengager dans le Cloud avec ses difrentes partes
prenantes : les Mters, la DSI, les Achats, lAudit interne, le Juridique, le Risk
Management, le Contrle Interne
Il est important de se poser les bonnes questons pour faire les bons choix :
quel Cloud pour quel usage ?
Il faut metre en place un environnement de contrle adapt pour assurer
la protecton des donnes dans le respect du cadre contractuel dfni avec le
fournisseur.
Ce document vise apporter un service concret aux entreprises prtes sengager
dans le Cloud, avec des exemples pratques (questons se poser avant de prendre
la dcision, clauses contractuelles, objectfs de contrle opratonnel). Il sadresse
certes aux acteurs de lentreprise (Directons Gnrales, Directons Mters) mais
aussi aux fournisseurs de solutons Cloud, qui doivent mieux prendre en compte
cete problmatque de protecton des donnes et renforcer leurs garantes en la
matre.
CIGREF - IFACI - AFAI - Mars 2013
6
Prambule
Pour aborder la noton de protecton des donnes dans le Cloud, il est important de la
relier dabord aux enjeux des Mters. Cete rfexion sur lanalyse du risque encouru
peut ainsi se structurer partr de la queston quel Cloud pour quel usage ? . Il sagit
donc de dterminer le niveau de protecton ncessaire aux donnes hberges, quelle
que soit leur localisaton, et de choisir lofre la plus adapte lusage souhait.
Par ailleurs, force est de constater que cete nouvelle ofre de Cloud, pour simposer
sur un march de masse, a centr sa communicaton sur la mise en valeur davantages
incontestables en matre dagilit, de capacit de rponse rapide un besoin
opratonnel, de rducton importante des cots de dploiement et dusage, et
dlastcit de lofre, cest--dire la capacit de sajuster au plus prs de la croissance ou
dcroissance du besoin. Ainsi, laspect de la protecton des donnes est, dans les faits,
pass au second plan chez les fournisseurs de Cloud.
Par ailleurs, le retour dexprience des entreprises montre que les ofres actuelles de
Cloud napportent pas un niveau de garante satsfaisant en matre de protecton des
donnes confdentelles ou caractre personnel.
Enfn, lofre Cloud pour le grand public et les avantages noncs plus haut, sont une
incitaton permanente des directons Mters safranchir des contraintes lies au
recours aux Directons Systmes dInformaton internes des entreprises, sans quelles
mesurent limpact potentel de telles initatves sur les Mters ou sur lefcacit et la
performance du systme dinformaton.
Cest pourquoi la slecton de lofre Cloud la plus adapte au besoin relve dabord des
opratonnels, et doit tre efectue en lien avec les informatciens. Ce guide pratque
facilitera leur dialogue en clarifant ce que sont les ofres Cloud disponibles, ce quest la
ralit de ces ofres, et leurs limites en matre de protecton des donnes. Il permetra
galement daccompagner les entreprises, en listant les questons se poser avant leur
prise de dcision, et les prcautons contractuelles et opratonnelles prendre.
Guide pratique - Cloud computing et protection des donnes
7
Termes cls
Vous trouverez ci-aprs une brve descripton des difrents modles de services
dune part, et des difrents types de Cloud dautre part.
IaaS (Infrastructure as a Service)
LInfrastructure en tant que Service est un modle de Cloud computng o
lentreprise dispose dune infrastructure informatque hberge chez le fournisseur.
Ainsi :
Lentreprise maintent ses applicatons, et la plateforme dexcuton de ces
applicatons (bases de donnes, logiciel serveur) ;
Le fournisseur de Cloud maintent linfrastructure (virtualisaton, matriel
serveur, stockage et rseaux).
PaaS (Platorm as a Service)
La Plateforme en tant que Service est un modle de Cloud computng o
lentreprise dispose dun environnement dans lequel la plateforme dexcuton de
ses applicatons (bases de donnes, logiciel serveur) est totalement externalise.
Cest une bote noire . Dans ce cas :
Lentreprise maintent uniquement ses applicatons ;
Le fournisseur de Cloud maintent la plateforme dexcuton de ces applicatons
et linfrastructure.
SaaS (Sofware as a Service)
Le Logiciel en tant que Service est un modle de Cloud computng o lentreprise
est utlisatrice dune ressource informatque (infrastructure, plateforme et
applicatons) totalement externalise :
Lentreprise sabonne une applicaton en ligne, comme par exemple la
messagerie lectronique (gmail, yahoo mail), plutt que dacheter une
licence ;
Le fournisseur de Cloud maintent les applicatons quil propose, la plateforme
dexcuton de ces applicatons ainsi que les infrastructures sous-jacentes.
Les ofres de type IaaS ou PaaS sadressent davantage aux Directons Systmes
dInformaton, quaux Directons Mters.
Modles de services
CIGREF - IFACI - AFAI - Mars 2013
8
Ce guide pratque met laccent sur la protecton des donnes pour les ofres de Clouds
de type SaaS, ofres qui sadressent directement aux directons opratonnelles et
gnrales des entreprises.
Face des ofres commerciales trs dynamiques et mouvantes, nous proposons
comme grille de lecture et daide la dcision, quatre catgories principales
dofres de Cloud, prises du point de vue de lentreprise utlisatrice.
Le Cloud se dfnit de la manire suivante (source CIGREF) :
1. Un Cloud est toujours un espace virtuel,
2. contenant des informatons qui sont fragmentes,
3. dont les fragments sont toujours dupliqus et rparts (ou distribus) dans
cet espace virtuel, lequel peut tre sur un ou plusieurs supports physiques,
4. qui possde une console (ou programme) de resttuton permetant de
reconsttuer linformaton.
Quatre typologies de Cloud Computng peuvent alors tre dcrites.
Les principaux types de Cloud proposs
Usage ddi aux besoins propres de lentreprise
Usage ouvert au grand public
ou une autre organisaton externe lentreprise
G
e
s
t
o
n

p
a
r

u
n
e

a
u
t
r
e

o
r
g
a
n
i
s
a
t
o
n
o
u

e
x
t
e
r
n
a
l
i
s

e

c
h
e
z

u
n

p
r
e
s
t
a
t
a
i
r
e
G
e
s
t
o
n

i
n
t
e
r
n
e

e
n
t
r
e
p
r
i
s
e
Figure 1 - Typologie des clouds (source CIGREF 2013)
Guide pratique - Cloud computing et protection des donnes
9
Il sagit ici de la fourniture de services informatques bass sur les technologies de
virtualisaton au sein dune entreprise.
Pour les organisatons dont la taille est sufsante pour en justfer linvestssement,
la mise en place dun Cloud interne priv reprsente une opportunit dconomie
et de mutualisaton des infrastructures SI au service de lagilit et de la souplesse
de mise en place des applicatons mters de lentreprise.
Dans ce cas, le dispositf de protecton des donnes est comparable celui
rencontr par toute organisaton oprant son systme dinformaton selon des
modalits classiques en interne lentreprise.
Cete typologie concerne le plus souvent les GIE qui ofrent des services en interne
lentreprise (mre) et en externe des clients. Lentreprise est alors elle-mme
oprateur de Cloud.
Dans ce cas de fgure, les contraintes et remarques identfes prcdemment pour
un Cloud externe usage priv (type 2) sappliquent, mais de manire inverse
(lentreprise ou le GIE informatque devient fournisseur de Cloud).
Certains fournisseurs de solutons mters proposent des ofres cls en main qui
reposent, de plus en plus souvent et de faon plus ou moins explicite, sur une
infrastructure de type Cloud.
A la difrence des Clouds publics, ces solutons intgres sont hberges sur
linfrastructure prive du fournisseur de service, mais lusage de ces infrastructures
reste partag entre plusieurs entreprises clientes, dans un nombre limit.
Dans cete catgorie, on distngue le cas partculier du Cloud communautaire qui
runit des organisatons ayant des besoins communs auxquels le Cloud apporte
une rponse mutualise. On peut citer par exemple Amadeus pour le traitement
des rservatons de voyage.
Cloud gr en interne et usage priv (Type 1)
Cloud gr en interne et usage ouvert (Type 3)
Cloud gr en externe et usage priv, souvent qualif
de cloud priv par les fournisseurs (Type 2)
CIGREF - IFACI - AFAI - Mars 2013
10
Il sagit de services gratuits ou payants de stockage et dapplicatons Web destns
le plus souvent au grand public. Ces services sont accessibles via le rseau internet,
en libre-service ou payants.
Lapplicaton la plus rpandue est la messagerie lectronique - Yahoo, Gmail - mais
des suites bureautques sont galement disponibles, par exemple lofre Google
Apps ou Microsof 365.
Ce modle de soluton souvent nomm Cloud public repose sur la disponibilit
en ligne des applicatons et des donnes de lutlisateur fnal. Les donnes sont
gres par le fournisseur de Cloud, sans visibilit pour le client sur les modalits
de conservaton de celles-ci : elles peuvent tre stockes aussi bien sur les
infrastructures informatques mutualises du fournisseur lui-mme, que chez lun
de ses sous-traitants. Ces infrastructures sont par ailleurs bien souvent rpartes
dans des datacenters implants dans difrents pays, rendant peu prdictble la
localisaton des donnes de lutlisateur, ce qui peut tre rdhibitoire pour la geston
de donnes dont la golocalisaton est primordiale (par exemple les donnes
caractre personnel dune entreprise).
Les donnes stockes sur ces solutons Cloud peuvent, dans la plupart des cas,
bnfcier dun statut priv , mais la robustesse de la protecton reste limite le
plus souvent celle dun mot de passe. Le fournisseur sengage sur la disponibilit
de laccs aux donnes et moins sur la protecton de cet accs.
Le Cloud public propose dsormais aux entreprises des applicatons davantage
spcialises (allant de la geston des forces de ventes lERP en ligne). Ce type
dofres peut disposer dune protecton de laccs aux donnes plus labore que
le simple statut priv voqu ci-dessus.
Enfn, une nouvelle sous-catgorie de Cloud public voit le jour avec le projet
franais de Cloud souverain, Andromde, qui a donn lieu la craton de deux
socits : CloudWat (Orange et Thales) et Numergy (SFR et Bull) en France. Il sagit
de proposer une ofre Cloud dont linfrastructure est matrise par un hbergeur
natonal, voire europen, pour mieux rpondre aux exigences de lUE en termes
de protecton des donnes caractre personnel, et de matrise des risques
despionnage. Le Cloud souverain limite en parte ces risques, mais nofre pas,
pour autant, lassurance de les couvrir. Lanalyse de risque devra donc obir aux
mmes exigences que dans le cas dun Cloud public.
Cloud gr en externe et usage ouvert (Type 4)
Guide pratique - Cloud computing et protection des donnes
11
Pour protger les donnes de faon adquate, il est fondamental quelles soient
inventories et qualifes selon une typologie distnguant les donnes sensibles
des autres donnes utlises et traites par le systme dinformaton.
Pour qualifer les donnes, il existe de nombreuses mthodes, souvent lourdes
metre en uvre. Nanmoins, une mthode simple pour qualifer une donne est
dvaluer quel serait limpact pour lentreprise si la donne :
tait rendue indisponible,
tait utlise ou modife par une personne non autorise (interne ou externe),
devenait publique ou largement difuse.
et quil nexistait pas de surveillance efcace permetant de dtecter cete perte
de confdentalit, dintgrit et de disponibilit, et den dterminer la cause et
lorigine.
Ainsi, les donnes de lentreprise peuvent tre rpartes selon les trois catgories
suivantes :
les donnes sensibles caractre personnel (cf. CNIL),
les donnes stratgiques pour lentreprise,
les autres donnes utlises dans les applicatons mters.
Nous dfnissons les donnes stratgiques de lentreprise comme un ensemble
dinformatons qui, si elles taient dtenues ou mises en corrlaton par des ters,
pourraient permetre de prendre de vitesse ou neutraliser une prise de positon
envisage par lentreprise et dont limpact serait dune telle ampleur, que la
stratgie de lentreprise serait fortement ou durablement impacte.
Par ailleurs, le caractre stratgique dune donne est li la dure de validit
de laxe stratgique de lentreprise (fusion, appel dofres) quelle concerne. Une
donne stratgique peut alors tre confdentelle ou sensible pendant un temps
dtermin, et perdre cete caractristque ultrieurement.
Typologie des donnes
CIGREF - IFACI - AFAI - Mars 2013
12
Bonnes pratques
La protecton des donnes nest pas spcifquement lie lmergence du Cloud.
Cest une problmatque ancienne et indispensable la geston de ces actfs
informatonnels et la mise en conformit de lentreprise avec le cadre lgislatf
relatf la protecton des donnes. Nanmoins, la mise en uvre dune soluton
de Cloud Computng doit tre loccasion de metre en place ou dactualiser sa
gouvernance de la protecton des donnes.
Avant de se lancer dans un projet Cloud, les entreprises doivent tre pralablement
sensibilises la protecton des donnes et avoir mis en place un programme
dentreprise sur ce sujet. La DSI est un acteur incontournable de cete bonne
gouvernance, mais il nest pas le seul. En efet, elle implique de nombreux acteurs
tous les niveaux, comme le montre lexemple ci-dessous, que lon pourra adapter
en foncton des spcifcits de lentreprise.
Gouvernance de la protecton des donnes
Figure 2 - Exemple dorganigramme dun programme de protecton des donnes
(Source Groupe de travail AFAI-CIGREF-IFACI 2013)
Guide pratique - Cloud computing et protection des donnes
13
Comme tout dispositif de matrise des risques, la protection des donnes
requiert :
des objectfs clairs,
le support du management,
limplicaton de toutes les partes prenantes (mters et fonctons support
groupe),
une gouvernance (comits, rles et responsabilits) approprie,
un plan dacton dtaill spcifant les ressources et budget,
un suivi du plan dacton.
Une implicaton responsable des propritaires des traitements et des donnes
est indispensable en matre :
didentfcaton et dvaluaton des risques,
de qualifcaton des donnes,
de geston des autorisatons daccs aux applicatons,
de concepton, de mise en uvre, de test et de suivi de lefcacit des
contrles associs.
La DSI est, quant elle, implique dans la scurisaton :
des applicatons,
des bases de donnes et des systmes,
du rseau,
des infrastructures,
de la concepton, de la mise en uvre et du suivi de lefcacit
des contrles.
Laudit interne contribue la matrise de lusage du Cloud en valuant
notamment :
le processus de slecton,
le rfrentel de contrle du prestataire,
la gouvernance de la prestaton, y compris par lexcuton de la clause
contractuelle daudit.
Avant de metre en place une soluton Cloud dans lentreprise, il est ncessaire de
rpondre aux questons suivantes.
Quels sont les traitements et les donnes susceptbles de migrer
vers le Cloud ?
La premire queston se poser avant de souscrire une ofre concerne lidentfcaton
des donnes qui seront hberges dans le Cloud et de leur traitement. Certains
types de donnes sont en efet soumis des exigences rglementaires ou Mters
partculires, quil faut alors identfer avant de valider leur transfert dans le Cloud.
Questons se poser avant de souscrire une ofre Cloud
CIGREF - IFACI - AFAI - Mars 2013
14
Il est important de ne pas faire de choix ponctuel, dict uniquement par des
considratons informatques. Le choix doit tre efectu partr des services que
lon veut ofrir aux utlisateurs :
dcrire au pralable le processus Mter de bout en bout, pour sassurer de la
contnuit opratonnelle, vue par les utlisateurs,
identfer les interfaces entre les SI internes et les futurs SI hbergs sur le
Cloud, le chemin critque, les ventuelles ruptures de charge dans le fux des
donnes,
vrifer la cohrence de fonctonnement entre les SI internes et ceux qui seront
hbergs sur le Cloud (temps de cycle, points de reprises en cas danomalies,
geston des changements, geston des incidents).
Quelles sont les opportunits du Cloud par rapport
une informatque traditonnelle ?
Pour une entreprise, les opportunits potentelles du Cloud, par rapport une
informatque plus traditonnelle, sont entre autres :
une meilleure fexibilit et volutvit, par la mise dispositon ractve des
services et ladaptaton en contnu, au niveau des besoins ;
un accs rapide aux dernires technologies et sans ncessit dinvestr en
moyens et en comptences supplmentaires ;
une baisse des cots, confrmer nanmoins de manire spcifque et
systmatque, issue de la mutualisaton des infrastructures, la standardisaton
et la banalisaton des applicatons : les dpenses dinvestssements sont
rduites et remplaces par un cot lusage, au juste ncessaire (selon une
enqute ralise en 2011 par la Commission europenne
1
, le Cloud permetrait
80% des entreprises de rduire leurs cots de 10% 20%) ; pour des projets
mal prpars ou mal suivis, le cot pourra tre suprieur dautres solutons
classiques.
Quels sont les risques matriser ?
Les principaux risques inhrents la mise en uvre dune soluton Cloud dans le
SI de lentreprise sont
2
:
Perte de matrise des traitements :
- perte de maitrise des normes et technologies mises en uvre par le
fournisseur ;
- difcults dintgraton entre services disponibles en interne et ceux qui
sont sur le Cloud, ou entre diverses briques Cloud de fournisseurs difrents ;
Dpendance technologique et fonctonnelle vis--vis du fournisseur de Cloud
et difcult pour exercer la rversibilit du fait dune perte de comptences SI
et fonctonnelles en interne ;
1
Source : Communicaton from the Commission to the European Parliament, the Council, the
European Economic and Social Commitee and the Commitee of the Regions : Unleashing the
Potental of Cloud Computng in Europe , page 4
2
Source CNIL
Guide pratique - Cloud computing et protection des donnes
15
Faille dans la scurit des donnes :
- disponibilit : perte de maitrise du systme dinformaton et manque de
visibilit sur les dysfonctonnements ;
- intgrit : risque de perte de donnes, de destructon, daltraton par erreur
ou malveillance ;
- confdentalit : risque dintrusion, dusurpaton ou de non tanchit entre
les difrents utlisateurs ;
- traabilit difcile ou impossible des donnes et des accs ;
- problme de geston des droits daccs
Non matrise de la localisaton des donnes et des intervenants ;
Incapacit pour le client de rpondre en temps et en heure aux requtes
judiciaires ;
Rquisitons judiciaires imposes aux prestataires selon les juridictons
comptentes entranant une perte de confdentalit et/ou de disponibilit des
donnes pour le client ;
Non-conformit rglementaire, notamment sur les transferts internatonaux ;
Destructon inefectve ou non scurise des donnes, ou dure de conservaton
trop longue, au-del des dlais lgaux de conservaton (sauvegardes,
archives) ;
Sauvegarde inefectve ;
Incapacit du client modifer lapplicaton en cas dvoluton de ses besoins
fonctonnels ;
Faille dans la chane de sous-traitance impactant le niveau de service ;
Indisponibilit du service du prestataire ;
Difcult tester et metre en uvre un Plan de Contnuit dActvit mter
(BCP) cohrent avec le DRP (Disaster Recovery Plan) du fournisseur ;
Cessaton dactvit du prestataire ou acquisiton du prestataire par un ters.
Une analyse de risques permet didentfer les mesures de scurit complmentaires
metre en place dans lentreprise au moment de la souscripton de lofre Cloud.
Ces mesures peuvent concerner lentreprise comme le prestataire choisi (cf. page
17 Quel impact sur la politque de scurit interne ?).
Quel Cloud pour quel traitement ?
Toutes les solutons de Cloud Computng ne sont pas adaptes tous les types de
donnes et de traitements dans lentreprise.
Le choix du modle priv ou public, voire partag, interconnectant environnements
externes et internes lentreprise doit prendre en compte, selon Gartner, plusieurs
paramtres :
Le calcul des cots dexploitaton court et moyen terme,
Le niveau de fexibilit recherch,
Les besoins de consacrer les ressources internes sur des actvits forte valeur
ajoute, favorable linnovaton,
CIGREF - IFACI - AFAI - Mars 2013
16
Les contraintes des charges de travail,
La scurit,
La qualit de services et la souplesse contractuelle vis--vis des fournisseurs
La performance et la disponibilit,
Le tableau ci-dessous donne une premire grille de slecton dune catgorie de
Cloud en foncton du type de donnes qui y sera hberg :
Type de donne sensible Catgorie de Cloud
Externe - Ouvert Externe - Priv Interne - Priv
Stratgique
Personnelle
Mter
Usage inadapt de la catgorie de Cloud pour le type de donnes concern
Usage dterminer en foncton des rsultats de lanalyse de risques
Usage adapt de la catgorie de Cloud pour le type de donnes concern
Comment choisir le prestataire ?
La plupart des ofres Cloud proposes sur le march sont standard . Lentreprise
doit donc valuer si les ofres envisages rpondent aux exigences de scurit
pralablement dfnies en interne :
Si lentreprise dispose dun cadre de contrle interne relatf la protecton de
donnes, elle doit le communiquer au prestataire,
En labsence dun tel rfrentel, elle peut sappuyer sur des questonnaires
dvaluaton fournis par des organismes de normalisaton reconnus (voir
exemples en annexe) ou sur des certfcatons (ISO 27001) et /ou des atestatons
(ISAE3402, SOC 1 & 2, ).
Le prestataire doit tre capable dapporter des garantes sufsantes notamment
sur les mesures de scurit et de confdentalit appropries. Il doit galement
tre transparent par rapport aux moyens employs.
Lors du choix du prestataire, il est primordial de :
Dterminer la qualifcaton juridique de la prestaton, sachant que le prestataire
peut tre conjointement responsable du traitement en sinterrogeant sur :
- la juridicton de rfrence,
- la collecte des donnes,
- lusage des donnes
Sassurer de la localisaton des donnes
Guide pratique - Cloud computing et protection des donnes
17
Evaluer le niveau de protecton que le prestataire assure aux donnes
traites (confdentalit, intgrit, disponibilit, traabilit) :
- par une exploitaton scurise et efcace : scurisaton physique des locaux,
scurisaton de linfrastructure technique, geston des incidents, geston des
changements, geston et sauvegarde de la confguraton, tests de scurit,
chifrement des communicatons, journaux, redondance des moyens, geston
des identts, geston des accs distants, procdures de surveillance et
daudit
- par une confrmaton de la localisaton des donnes,
- par un personnel form et expriment (politque dembauche, de formaton,
encadrement des accs privilgis, recours des sous-traitants ou des
ters),
- par une dfniton explicite des niveaux de service (SLA, pilotage, support et
assistance, escalade),
- par lassurance de la localisaton des oprateurs.
Il faut galement vrifer la possibilit dexporter ses donnes (avec efacement
total) afn de ne pas se retrouver ensuite dpendant de ce fournisseur.
Ltablissement dun Plan dAssurance Scurit
1
(PAS) appropri pourra tre requis
en foncton de la critcit des donnes, telle que dfnie dans lanalyse de risques.
Quel impact sur la politque de scurit interne ?
Les problmes de scurit gnrs par le Cloud sont ceux dj rencontrs dans
lutlisaton quotdienne dInternet par les entreprises, en partculier le problme
de la confdentalit des changes. Le passage au Cloud computng met en vidence,
voire amplife, les failles de scurit prexistantes en local.
Avant tout dploiement de SI bas sur le Cloud, le client doit disposer dune
infrastructure saine et fonctonnelle : vrifer et optmiser la scurisaton de ses
donnes, de son infrastructure et de son rseau avant de passer au Cloud (antvirus,
antspywares, monitoring rseau). Il faut galement faire voluer les procdures,
notamment en ce qui concerne les accs.
Lentreprise doit dfnir des critres de choix du prestataire partr de lanalyse de
risques : quel niveau de service pour quelles donnes ? .
Idalement, le projet ne doit dmarrer quune fois le contrat sign. Dans la pratque,
la fnalisaton contractuelle, qui est souvent une opraton longue, peut sachever
aprs le dmarrage du projet.
1
Source : Matriser les risques dinfogrance - Chapitre 4 : Le plan dassurance scurit - ANSSI
2010
Recommandatons contractuelles relatves
la protecton des donnes
CIGREF - IFACI - AFAI - Mars 2013
18
Dans ce cas, il est important dintgrer ds la letre dintenton une clause
suspensive si les critres de protecton des donnes requis ne sont pas ateints.
Au-del des critres techniques mis en place par le fournisseur de service Cloud, il
est primordial dintgrer dans les clauses contractuelles des obligatons fortes en
matre de disponibilit, dintgrit, de confdentalit, daudit et de conformit
exiges par lentreprise, ses clients et les rgulateurs.
Le cadre contractuel doit tre valid par le dpartement juridique, ventuellement
assist dexperts juridiques en matre de protecton des donnes, afn dengager
la responsabilit du fournisseur, qui en cas de non-respect doit tre soumis des
pnalits fnancires.
Le fournisseur devra pouvoir dmontrer quil a mis en uvre les mesures de
scurit adquates par rapport au rfrentel de contrle du client.
Disponibilits des donnes ?
Pour se prmunir contre le risque de perte de donnes, il est prconis de
rpliquer celles-ci sur un autre site distant et dexiger un engagement de rsultat
de restauraton des donnes dans des dlais contractuels dfnis.
En cas de perte de donnes, le client doit tre alert et pouvoir enquter.
Intgrit et confdentalit des donnes ?
Les clauses de responsabilit du contrat doivent tre clairement dfnies, tout
partculirement en matre de respect de la confdentalit des donnes (accs
non autoriss, voire frauduleux), et dateinte leur intgrit. Dans certains cas,
comme par exemple, dans le domaine mdical ou de la dfense natonale, le client
pourra exiger que :
ces donnes restent localises sur des serveurs exclusivement situs dans
lUE,
le prestataire soit franais et/ou agr par lEtat,
les moyens de contrle de cette obligation lui soient fournis par son
prestataire.
Avec un stockage et un accs aux donnes personnelles lintrieur de lUE, le
client sexonrera ainsi dun ensemble de formalits CNIL lies au transfert de
donnes en dehors de lUE.
Dans le domaine mdical, le prestataire doit se conformer un cahier des charges
strict qui donne lieu des audits rguliers et un agrment par le Ministre de la
Sant, valide pendant 3 ans.
Dans le cadre dun service Cloud qui hberge des donnes caractre personnel,
gr par des oprateurs ofshore (hors UE), il est ncessaire de sassurer que lon
est en conformit avec les rglements relatfs aux transferts internatonaux de
donnes. Ceci est notamment vrai mme si les donnes restent physiquement en
Europe, mais que le personnel qui y accde se trouve en dehors de lEurope.
Guide pratique - Cloud computing et protection des donnes
19
Pour ce faire, le client et son prestataire peuvent recourir lun des mcanismes
ci-dessous :
dclaraton de transferts internatonaux entre le contrleur (propritaire de
donnes) et le processeur (fournisseur de service),
Binding Corporate Rules
1
,
clauses contractuelles europennes (Standard Clauses
2
).
Il est noter que certains pays sont exempts de tels dispositfs :
les tats membres de lUE : lAllemagne, lAutriche, la Belgique, la Bulgarie,
Chypre, le Danemark, lEspagne, lEstonie, la Finlande, la France, la Grce,
la Hongrie, lIrlande, lItalie, la Letonie, la Lituanie, le Luxembourg, Malte,
les Pays-Bas, la Pologne, le Portugal, la Rpublique tchque, la Roumanie, le
Royaume-Uni, la Slovaquie, la Slovnie et la Sude,
les Etats membres de lEEA : lIslande, le Liechtenstein et la Norvge,
les autres pays exempts : Andorre, Argentne, Australie, Canada, Guernesey,
Ile de Man, Iles Fro, Isral, Monaco, Suisse.
Conventon de niveau de services - SLA (Service Level Agreement)
Une conventon de niveau de service de scurit doit tre contractuellement dfnie
avec le prestataire en foncton du niveau de protecton requis pour la catgorie
de donnes concerne et traiter notamment les incidents, la confdentalit,
lintgrit, la disponibilit, la traabilit, les performances, les vulnrabilits.
La rdacton de cete conventon de niveau de services peut sinspirer du document
de lANSSI : Matriser les risques dinfogrance - Chapitre 4 : Le plan dassurance
scurit.
Le prestataire doit disposer doutls de mesure, dindicateurs du niveau de service
scurit et rendre compte de ces mesures au client. Un systme de malus ou de
pnalits pourrait tre appliqu en cas de non-respect de la conventon.
Dans le cas dun service Cloud ncessitant un niveau de protecton lev, cete
conventon est une conditon sine qua non.
Clause daudit
Le prestataire de services de Cloud Computng doit intgrer dans son ofre, un
audit annuel par une socit indpendante et/ou autoriser le client organiser
lui-mme des audits ; le prestataire doit sengager traiter les dfciences
observes. Atenton, labsence de clause daudit dans le contrat peut rendre toute
mission commandite par le client non recevable.
Un exemple de clause daudit est disponible en annexe 3.
1
Voir Annexe 2 : Normes, Certfcatons
2
Voir Annexe 2 : Normes, Certfcatons
CIGREF - IFACI - AFAI - Mars 2013
20
Plan de rversibilit
Pour assurer une prennit des services de Cloud, il savre primordial de
contractualiser un plan de rversibilit permetant de transfrer les services
dautres prestataires ou de les rintgrer dans lentreprise. Ce plan prvoira
notamment les facteurs dclencheurs de cete rversibilit (carence du prestataire,
libre choix du client chance du contrat aprs un certain nombre dannes),
les conditons de cete rversibilit (simple discontnuit du service, arrt total du
service) et le cot de celle-ci pour lentreprise.
La mise en uvre de la rversibilit devra inclure la suppression des donnes par
le prestataire sur ses moyens propres.
Pour assurer le respect des engagements contractuels, le client doit disposer de
moyens de pilotage et de suivi opratonnel.
Le prestataire de services Cloud doit tre en mesure de fournir des lments de
preuve sufsants son client, travers un dispositf de contrle efcace et test
par des auditeurs indpendants. Le prestataire doit pouvoir communiquer ces
lments aux acteurs concerns (la directon, les auditeurs internes, les clients ou
les rgulateurs) et dmontrer ainsi que le niveau de protecton des donnes est
satsfaisant.
Cete dmonstraton peut se concrtser par la publicaton de Rapports
dassurance de type ISAE 3402.
Structurer la gouvernance de la prestaton
Dans la phase de mise en uvre, il est ncessaire de dployer une gouvernance
avec des responsabilits clairement dfnies et suivies lors de runions du comit
de pilotage. Les questons relatves la protecton des donnes doivent tre plus
spcifquement suivies par un comit de scurit.
Un comit de scurit rgulier doit tre mis en place entre le client et le prestataire,
et anim par les correspondants scurit des deux partes pour traiter des sujets
suivants :
la conformit des services de scurit (patchs scurit, ant-virus),
la geston du risque opratonnel (identfcaton, valuaton, remdiaton) et
le suivi des actons de remdiaton des vulnrabilits critques identfes,
les incidents, les intrusions et leur traitement,
la geston des contrles, des audits et des rapports dassurance (planifcaton,
primtre, certfcaton).
Mise en uvre et pilotage de la protecton des donnes
Guide pratique - Cloud computing et protection des donnes
21
Dfnir et metre en place les mesures de protecton exiges
Primtre des contrles par rapport aux services fournis
Le client doit vrifer que le primtre de contrle du prestataire couvre bien le
service demand. Il est possible, par exemple, que le prestataire nait mis en uvre
quun sous-ensemble des actvits de contrle atendues.
A ttre dexemple, un prestataire peut avoir mis en uvre des actvits de contrle en
matre de scurit physique et environnementale, ainsi quen matre de scurit
rseau mais trs peu en matre de scurit logique, parce que le prestataire avait
historiquement un mter dhbergeur (IaaS) et a peu de maturit en matre de
service logiciel (SaaS). Dans ce cas, le prestataire disposera dun rapport, qui est
un gage de scurit physique, mais qui ne couvre pas les actvits de contrle lies
aux accs logiques.
Objectfs et actvits de contrle
En matre de protecton de donnes, on peut distnguer cinq familles dobjectfs
de contrle (dtailles dans lannexe 1) :
1. les donnes sensibles : le prestataire doit metre en uvre, de faon
cohrente, les processus en matre de scurit, geston du personnel,
inventaire, qualifcaton et traabilit des donnes,
2. les datacenters : le prestataire doit disposer dune geston scurise des
accs physiques aux datacenters,
3. la scurit des accs logiques : le prestataire doit disposer de contrles
daccs logiques assurant la protecton des donnes,
4. la scurit des systmes : le prestataire doit disposer de systmes
correctement confgurs et protgs des failles de scurit, en partculier pour
les environnements hbergeant les donnes,
5. la scurit du rseau : le prestataire doit disposer dun rseau scuris
avec un isolement appropri des autres clients.
Assurer le suivi de la prestaton
Le suivi de la prestaton implique que le client :
suive et contrle les indicateurs de niveau de service de scurit transmis par
le prestataire loccasion de chaque runion du comit scurit,
analyse les rapports dassurance du prestataire,
actve la clause daudit (notamment la capacit du client raliser des tests
dintrusion permetant de mesurer la robustesse efectve de la scurit de la
prestaton) et lorganiser en coordinaton avec le prestataire.
CIGREF - IFACI - AFAI - Mars 2013
22
Guide pratique - Cloud computing et protection des donnes
23
Annexes
Annexe 1 : objectfs de contrle
En matre de protecton de donnes, on peut distnguer cinq familles de contrle :
1. les donnes sensibles : le prestataire doit metre en uvre, de faon
cohrente, les processus en matre de scurit, geston du personnel,
inventaire, qualifcaton et traabilit des donnes,
2. les datacenters : le prestataire doit disposer dune geston scurise des
accs physiques aux datacenters,
3. la scurit des accs logiques : le prestataire doit disposer de contrles
daccs logiques assurant la protecton des donnes sensibles,
4. la scurit des systmes : le prestataire doit disposer de systmes
correctement confgurs et protgs des failles de scurit, en partculier pour
les environnements hbergeant les donnes sensibles,
5. la scurit du rseau : le prestataire doit disposer dun rseau scuris
avec une isolaton approprie des autres clients.
Pour chacun de ces objectfs, des actvits de contrle doivent tre ralises.
A ttre dexemple, sont listes ci-dessous des actvits de contrle pour chacun de
ces objectfs.
Donnes
Le prestataire assure que :
la localisaton des donnes sensibles du client est connue et conforme
aux exigences du client (datacenter et serveur),
les systmes de sauvegardes et plans de secours informatques associs
sont mis en uvre,
il dispose dun code dthique appliqu par son personnel et il nexerce
pas des actvits pouvant entrainer un risque de confits dintrt,
son personnel suit rgulirement des formatons de sensibilisaton la
scurit,
il dispose de moyens de traabilit centraliss permetant de dtecter
des violatons de privilges ou des comportements malveillants,
il dispose dune geston des incidents de scurit incluant la dtecton,
lalerte, le traitement jusqu la rsoluton, lidentfcaton des causes et la
communicaton au client.
CIGREF - IFACI - AFAI - Mars 2013
24
Scurit des accs physiques
Le prestataire assure que :
il dispose de systmes daccs physique scuriss, de dtecton dintrusion et
de vido surveillance,
les accs aux datacenters sont autoriss aux seules personnes habilites en
suivant un circuit dapprobaton appropri, ils sont tracs et revus rgulirement,
tout sous-traitant de maintenance amen utliser ou rparer des quipements
contenant des donnes sensibles est soumis des clauses contractuelles de
confdentalit,
tout media de stockage de donnes contenant des donnes sensibles et
destn tre mis au rebus ou recycl fait lobjet dun efacement physique
pralable de ces donnes.
Scurit des accs logiques
Le prestataire assure que :
il applique les rgles dautorisaton daccs aux donnes en foncton des
lments communiqus par le client (craton, modifcaton et suppression) ;
il fournit la liste des accs au client,
les accs des utlisateurs et administrateurs aux systmes contenant des
donnes sensibles sappuient sur des mcanismes assurant la confdentalit
et la traabilit (pistes daudit sur les accs aux donnes et traitement de la
problmatque des comptes gnriques),
il applique une politque dauthentfcaton et de mot de passe conforme
celle du client.
Scurit des systmes
Le prestataire assure que :
les donnes sauvegardes quel que soit le support sont chifres,
il gre les vulnrabilits des systmes et organise au moins annuellement
des tests dintrusion ; les vulnrabilits critques identfes sont corriges
immdiatement,
les serveurs hbergeant des donnes sensibles sont confgurs avec un niveau
de scurit renforc ; les patchs de scurit sont grs de faon centralise
et appliqus dans des dlais infrieurs un mois,
les ant-virus sont installs sur les serveurs, mis jour et superviss,
lusage des cls USB ou autres media de stockage mobile est contrl et
interdit sur tous les systmes contenant des donnes sensibles.
Guide pratique - Cloud computing et protection des donnes
25
Scurit des accs au rseau
Le prestataire assure que :
les points dentre au rseau sont limits, scuriss et fltrs,
les tches dadministraton des systmes sont opres depuis un rseau
dadministraton ddi et isol en se connectant avec des mcanismes
dauthentfcaton forte,
les changements dquipement rseau sont tracs, documents et approuvs,
dans le cas dun Cloud partag :
- laccs au rseau est autoris uniquement des terminaux de confance,
- le rseau sur lequel sont connects les systmes hbergeant les donnes
sensibles est isol du rseau des autres clients.
Certfcatons
AUP (Agreed Upon Procedure)
Les revues AUP (AGREED UPON PROCEDURES) sont utlises quand un client
demande un auditeur externe defectuer des tests sur des procdures spcifques
et dtablir un rapport sur les rsultats.
Dans le rapport, lauditeur ne fournit aucune opinion, certfcaton, ou assurance
que les afrmatons faites sont exemptes danomalies signifcatves. Les
destnataires de ce type de rapport doivent trer leurs propres conclusions sur
les rsultats des tests raliss. Par exemple, un auditeur externe sera amen
demander des pices justfcatves prouvant lapplicaton dune procdure ; il fera
tat de la slecton de ces pices et du rsultat de ces tests, mais ne donnera pas
un avis formel avec des conclusions sur leurs rsultats.
ISAE3402 type I et type II (ex-SAS70)
Lexternalisaton dune actvit ncessite de matriser les risques car elle a un impact
direct sur les comptes des entreprises et sur leurs informatons fnancires. Les
entreprises doivent donc contrler que leurs prestataires (du service externalis
ou le sous-traitant) ont mis en place des procdures conformes leurs exigences.
Consquence : les prestataires subissent donc une hausse de demandes
dinformaton et daudit de la part de leurs nombreux clients. Une soluton alternatve
des audits commandits par chaque client est donc envisage : une atestaton
mise par un ters indpendant sur la qualit de leur dispositf de contrle interne.
Elle prvoit la transmission de rapports sur la qualit des procdures de contrle
interne dun prestataire lintenton de lentreprise cliente.
Annexe 2 : normes, certfcatons
CIGREF - IFACI - AFAI - Mars 2013
26
Les prestataires concerns doivent gnralement raliser des travaux en vue
dliminer les dfauts de leurs procdures de contrle interne et de rendre ces
dernires exhaustves et homognes. Au fnal, le rapport ISAE3402 renforce la
crdibilit des prestataires vis--vis de leurs clients.
Le recours cete norme doit sinscrire dans un processus comprenant plusieurs
tapes. Le prestataire concern doit dabord formaliser prcisment son dispositf
de contrle interne, ses objectfs de contrle et les contrles lis, puis tablir un
document dcrivant lensemble de ce dispositf. Cest sur la base de ce document
que le vrifcateur, en rgle gnrale un cabinet daudit, exprimera une opinion.
En pratque, il existe deux types de rapports :
un rapport de type I, dans lequel le vrifcateur met une opinion sur la
fdlit de la descripton et sur ladquaton des contrles par rapport aux
objectfs fxs. Ce type de contrle sefectue une fois par an. Les entreprises
utlisent gnralement ce premier rapport pour dterminer une tendance avant
daller vers le rapport de type II. Cete certfcaton a comme inconvnient de ne
dcrire lorganisaton qu un temps T et non sur une priode,
un rapport de type II, plus complet du fait dune tude porte sur une priode
(de 6 mois minimum en gnral), dans lequel le vrifcateur met en plus une
opinion sur lefcacit des contrles pour ateindre ces objectfs. Latestaton
ISAE3402 de type II est donc latestaton la plus complte. Elle intgre non
seulement un audit au moment de latestaton, mais ensuite des contrles
rguliers pour sassurer que les procdures mises en place restent bien
appliques. Elle consttue une opportunit supplmentaire pour lentreprise
damliorer sans relche son organisaton. Pour chaque service audit, une
grille de contrle a t mise en place avec une liste des objectfs de contrle, des
actvits contrles, des plans de test, des observatons et recommandatons.
SOC 2 et SOC 3
LAmerican Insttute of Certfed Public Accountants (AICPA) a aussi dfni les
rapports des Service Organizaton Controls (contrles des fournisseurs de services)
- SOC2 et SOC3.
SOC 2 est un rapport sur les contrles dun organisme de services touchant
la scurit, la disponibilit, la confdentalit de traitement dintgrit, de
confdentalit, et/ou utlisant des critres prdfnis et couvrant un ou plusieurs
des cinq atributs cls du systme de scurit, de disponibilit, dintgrit
du traitement, de confdentalit et de vie prive. La difusion du rapport
SOC 2 se limite aux clients de lentreprise de services et des destnataires bien
spcifques qui ont une connaissance approfondie de lorganisaton du service
et de ses contrles internes.
Guide pratique - Cloud computing et protection des donnes
27
SOC 3 est un rapport qui utlise les mmes atributs que le SOC 2. Le SOC 3
est un rapport dutlisaton gnrale qui ne fournit que le rapport du vrifcateur
si le systme a ateint les critres de base des services, laissant de ct le
systme et des descriptons dtailles de test.
Unifed Certfcaton Standard (UCS) for Cloud & Managed Service Providers
LUCS, prcdemment connu sous le nom de Managed Services Accreditaton
Program (MSAP), dispose dauditeurs qui visitent les installatons des fournisseurs
de services Cloud, et les valuent sur onze objectfs de contrle principaux.
Code of Practce for Cloud Service Providers Self Certfcaton
Les organisatons garantssant le respect du Code of practce dfni par le Cloud
Industry Forum (CIF) procdent une auto-certfcaton annuelle et confrment les
rsultats positfs de cete atestaton au CIF afn de recevoir lautorisaton dutliser
la marque de certfcaton (le logo) pour lanne suivante.
EuroCloud Star Audit Certfcaton
EuroCloud Allemagne a lanc un programme de certfcaton pour les solutons
et technologies SaaS/Cloud. Il est en cours de dploiement au niveau europen.
Lvaluaton est faite par un ters agr, et prend la forme de latributon dun
nombre dtoiles.
Ce programme de certfcaton (disponible en anglais uniquement) couvre les
points suivants :
Conformit rglementaire,
Scurit et confdentalit des donnes,
Infrastructure des datacenters,
Processus opratonnels,
Interoprabilit et implmentaton des applicatons.
CSA Open Certfcaton Framework
Le Cloud Security Alliance (CSA) a cr lOpen Certfcate Framework (OCF) en
partenariat avec le BSI (Britsh Standards Insttuton). Ce partenariat sassurera que
lOpen Certfcate Framework est en conformit avec les normes internatonales et
est bas sur un processus complet de certfcaton.
LOpen Certfcate Framework est structur en trois niveaux, et chacun dentre eux
ofrira un niveau supplmentaire de confance et de transparence aux actvits
des fournisseurs de services du Cloud et un niveau plus lev dassurance pour le
consommateur Cloud.
CIGREF - IFACI - AFAI - Mars 2013
28
Le niveau inital est lauto-valuaton CSA STAR : les fournisseurs de Cloud
peuvent envoyer des rapports au Registre STAR CSA pour indiquer leur
conformit avec les meilleures pratques du CSA. La disponibilit est immdiate.
Le deuxime niveau, la CERTIFICATION CSA STAR, est une valuaton par un
ters indpendant : cete certfcaton sappuie sur les exigences de la norme
ISO/IEC 27001 : 2005 avec la matrice CSA Cloud Control (CCM). Ces valuatons
seront menes par des organismes de certfcaton approuvs seulement. La
disponibilit est prvue au 1er semestre 2013.
La certfcaton STAR sera renforce lavenir par une surveillance contnue
base sur la certfcaton : ce troisime niveau est actuellement en cours de
dveloppement.
ISO/IEC 27001
La certfcaton ISO 27001 consttue la principale norme internatonale servant
valuer les systmes de geston de la scurit des informatons. Elle dfnit des
exigences et meilleures pratques pour une approche mthodique de la geston
des informatons des entreprises et des partculiers. Elle repose sur des estmatons
priodiques des risques, adaptes aux menaces en perptuelle voluton.
FEDRamp
Le Federal Risk and Authorizaton Management Program (FedRAMP) Service
Mark (SM) certfe quun fournisseur de Cloud a fait lobjet dun processus
rigoureux dvaluaton de la scurit, en accord avec le Federal Informaton
Security Management Act (FISMA) et en utlisant les contrles dfnis dans la NIST
Special Publicaton 800-53, Revision 4 Security and Privacy Controls for Federal
Informaton Systems and Organizatons . Cete valuaton doit tre valide par un
ters, afn de vrifer que les contrles sont tests et intgrs, et quils respectent
le primtre de lvaluaton.
PCI/DSS
Pour renforcer la scurit des systmes dinformaton, le Payment Card Industry
(PCI) Security Standards Council a dvelopp le PCI Data Security Standard (PCI
DSS). Le standard PCI DSS liste un ensemble de points de contrles relatfs aux
systmes dinformaton qui capturent, transportent, stockent et traitent des
donnes de cartes bancaires. Les points de contrles sont relatfs des techniques
informatques, mais galement des procdures et des contrles organisatonnels
sur ces systmes.
Guide pratique - Cloud computing et protection des donnes
29
La conformit PCI DSS permet de vrifer que les points de contrles sont bien
mis en uvre et quils sont efcaces pour la protecton des donnes de cartes
bancaires. Cete conformit passe, selon la taille de lentreprise, par un audit
efectu par un auditeur agr ou par un questonnaire dauto-valuaton
remplir par lacteur concern et transmetre sa banque. Cete conformit doit
tre vrife annuellement ainsi que par des tests techniques validant la bonne
protecton du site de lacteur.
TRUSTed Cloud Data Privacy Certfcaton
TRUSTed est le principal fournisseur de solutons pour la protecton de la vie
prive en ligne et fournit une gamme de services pour aider les entreprises
gagner la confance de leurs clients et augmenter ladhsion sur tous leurs canaux
numriques : sites Web, applicatons mobiles, publicit, services in-the-Cloud ,
statstques dentreprise ou email marketng.
TRUSTed Cloud Data Privacy certfcaton est base sur une norme de conformit
pour des pratques commerciales relatves la collecte et lutlisaton des donnes
dfnie par TRUSTed. Pour obtenir la certfcaton, une entreprise doit fournir la
preuve de ses pratques de gouvernance de la vie prive et des donnes, pour les
donnes collectes pour le compte dutlisateurs, clients et partenaires.
Organisatons internatonales
ISACA
LISACA est un organisme indpendant dveloppant des normes et bonnes
pratques en matre de gouvernance, contrle, scurit, audit et assurance des
Systmes dInformaton. LAFAI est le chapitre franais de lISACA.
LISACA a notamment dvelopp les rfrentels COBIT, Val IT, BMIS et Risk IT
et dlivre des certfcatons pour les professionnels des systmes dinformaton :
CISA, CISM, CGEIT and CRISC.
Les principaux rfrentels de lISACA concernant la scurit sont BMIS (Business
Model for Informaton Security) et COBIT 5 for Informaton Security publi
rcemment. LISACA a galement publi plusieurs guides et recueils de bonnes
pratques concernant le Cloud Computng.
IIA
LIIA est lassociaton professionnelle internatonale de laudit interne reprsente
en France par lIFACI. Elle labore des normes et difuse des bonnes pratques
dvaluaton des dispositfs de contrle interne et de geston des risques, dont
des guides daudit des technologies de linformaton (GTAG). Elle promeut le
professionnalisme des auditeurs internes travers un code de dontologie, et des
certfcatons professionnelles (CIA, CRMA).
CIGREF - IFACI - AFAI - Mars 2013
30
NIST
Le NIST (Natonal Insttute of Standards and Technology) est une organisaton
ratache au Ministre du Commerce amricain. Le NIST a labor le NIST 800
Series, qui est un ensemble de documents dcrivant les procdures et les lignes
directrices relatves la scurit des systmes dinformaton du gouvernement
amricain.
Ces documents, librement tlchargeables, servent de base aux difrentes
insttutons, prives comme publiques.
ENISA
LENISA est lagence europenne charge de la scurit des rseaux et de
linformaton. Elle a pour mission dassurer un niveau lev de scurit des rseaux
et de linformaton. Elle agit de difrentes faons en :
intervenant en tant quexpert en matre de scurit des rseaux et de
linformaton auprs des autorits natonales et des insttutons europennes,
favorisant lchange des meilleures pratques,
facilitant les contacts entre les insttutons (natonales et europennes) et les
entreprises.
LENISA, en collaboraton avec les instances natonales et les insttutons
europennes, semploie dvelopper une culture de la scurit des rseaux
dinformaton dans toute lUnion europenne.
Shared Assessments
Shared Assessments a t cr par des insttutons fnancires de premier ordre,
les Big 4 des cabinets daudit, ainsi que par des socits de services cls, pour
apporter standardisaton, consistance, vitesse, efcience et rducton de cots
dans le processus dvaluaton des risques des fournisseurs. A travers ladhsion au
Shared Assessments Member Forum et lutlisaton des Shared Assessments Tools
(les Agreed Upon Procedures et le questonnaire Standard Informaton Gathering),
Shared Assessments procure les moyens de conduire une valuaton rigoureuse et
comprhensible des risques, de la scurit et de la contnuit des afaires.
Organisatons natonales franaises
CNIL
La Commission Natonale de lInformatque et des Liberts (CNIL) est une insttuton
indpendante charge de veiller au respect de lidentt humaine, de la vie prive
et des liberts dans un monde numrique.
Guide pratique - Cloud computing et protection des donnes
31
ANSSI
LAgence Natonale de la Scurit des Systmes dInformaton (ANSSI) est ratache
au Secrtariat Gnral de la Dfense et de la Scurit Natonale (SGDSN), autorit
charge dassister le Premier ministre dans lexercice de ses responsabilits en
matre de dfense et de scurit natonale. Dans le domaine de la dfense des
systmes dinformaton, elle assure un service de veille, de dtecton, dalerte et
de racton aux ataques informatques, notamment sur les rseaux de ltat. Elle
a notamment pour mission de :
dtecter et ragir au plus tt en cas dataque informatque, grce un centre
de dtecton charg de la surveillance permanente des rseaux sensibles et de
la mise en uvre de mcanismes de dfense adapts aux ataques,
prvenir la menace, en contribuant au dveloppement dune ofre de produits
de trs haute scurit ainsi que de produits et services de confance pour les
administratons et les acteurs conomiques,
jouer un rle de conseil et de souten aux administratons et aux oprateurs
dimportance vitale,
informer rgulirement le public sur les menaces, notamment par le biais du
site internet gouvernemental de la scurit informatque, lanc en 2008, qui
a vocaton tre le portail Internet de rfrence en matre de scurit des
systmes dinformaton,
consttuer un rservoir de comptences, destn apporter son expertse et
son assistance technique aux administratons et aux oprateurs dimportance
vitale,
promouvoir les technologies, les systmes et les savoir-faire natonaux ; elle
contribue au dveloppement de la confance dans lconomie numrique.
Cadre rglementaire sur le transfert de donnes
Certains pays, ayant un niveau de protecton adquat, ne ncessitent pas
dautorisaton de transfert. Il sagit :
des tats membres de lUE : lAllemagne, lAutriche, la Belgique, la Bulgarie,
Chypre, le Danemark, lEspagne, lEstonie, la Finlande, la France, la Grce,
la Hongrie, lIrlande, lItalie, la Letonie, la Lituanie, le Luxembourg, Malte,
les Pays-Bas, la Pologne, le Portugal, la Rpublique tchque, la Roumanie, le
Royaume-Uni, la Slovaquie, la Slovnie et la Sude,
des Etats membres de lEEA : lIslande, le Liechtenstein et la Norvge,
des autres pays exempts : Andorre, Argentne, Australie, Canada, Guernesey,
Ile de Man, Iles Feroe, Isral, Monaco, Suisse.
Si lentreprise ne se trouve pas dans lun des cas ci-dessus, elle peut utliser lune
des trois solutons suivantes, ou demander une autorisaton spcifque lautorit
de protecton des donnes comptente.
CIGREF - IFACI - AFAI - Mars 2013
32
Les Binding Corporate Rules (BCR)
Les Binding Corporate Rules (BCR) consttuent un code de conduite, dfnissant
la politque dune entreprise en matre de transferts de donnes. Les BCR
permetent dofrir une protecton adquate aux donnes transfres depuis
lUnion europenne vers des pays ters lUnion europenne au sein dune mme
entreprise ou dun mme groupe.
Leur mise en place reprsente un efort consquent, et est encore loin dtre
gnralise dans les entreprises.
Les clauses contractuelles types de lUE relatves aux donnes personnelles
Ces clauses sont des modles de contrats de transfert adopts par la Commission
europenne. On distngue :
les clauses contractuelles types encadrant les transferts de donnes
personnelles entre deux responsables de traitement,
les clauses contractuelles types encadrant les transferts de donnes
personnelles entre un responsable de traitement et un sous-traitant.
Il existe des exceptons au principe dinterdicton de transferts, qui sont lobjet
de limitatons et dune interprtaton stricte. Ces exceptons sont prvues par la
directve 95/46 CE du 24 octobre 1995, et lartcle 69 de la loi Informatque et
Liberts du 6 janvier 1978 :
Soit la personne a consent expressment au transfert de ses donnes
personnelles,
Soit le transfert savre ncessaire lune des conditons suivantes :
- la sauvegarde de la vie de cete personne,
- la sauvegarde de lintrt public et au respect dobligatons permetant
dassurer la constataton, lexercice ou la dfense dun droit en justce,
- la consultaton, dans des conditons rgulires, dun registre public qui, en
vertu de dispositons lgislatves ou rglementaires, est destn linformaton
du public et est ouvert la consultaton de celui-ci ou de toute personne
justfant dun intrt lgitme,
- lexcuton dun contrat entre le responsable du traitement et lintress,
ou de mesures pr-contractuelles prises la demande de celui-ci,
- la conclusion ou lexcuton dun contrat conclu ou conclure, dans
lintrt de la personne concerne, entre le responsable du traitement et un
ters.
Les principes du Safe Harbour
Le Safe Harbour comprend un ensemble de principes de protecton des donnes
personnelles, ngocis entre les autorits amricaines et la Commission
europenne en 2001.
Guide pratique - Cloud computing et protection des donnes
33
Les entreprises tablies aux tats-Unis adhrent ces principes auprs du
Dpartement du Commerce amricain. Cete adhsion les autorise recevoir des
donnes en provenance de lUnion europenne.
Demandes daccs et rquisitons de donnes
Les autorits natonales peuvent demander accder aux donnes localises sur
leur territoire et les rquisitonner le cas chant, en applicaton de lois natonales
telles que le Patriot Act aux Etats-Unis ou la future directve europenne (Com.
2012-10).
Le Prestataire et les services quil fournit pourront faire lobjet daudits qui auront
notamment pour but de vrifer :
a. le respect de la conventon de niveau de services - SLA (Service Level
Agreement) ;
b. que le Prestataire se conforme aux procdures et aux normes de scurit
dfnies lartcle XX ;
c. que le Prestataire respecte les obligatons qui lui incombent en vertu de
lartcle XX ;
d. que les moyens et les procdures mis en uvre par le prestataire sont
conformes au plan de geston des dsengagements, comme indiqu lartcle
XX ;
e. et sassurer que lensemble des documents comptables obligatoires et des
donnes collecter en vertu des lois et rglements applicables existe, est mis
jour conformment aux mthodologies gnralement admises et, dune faon
gnrale, selon des modalits et avec un niveau de dtail sufsants pour justfer
le calcul des charges lies aux services. Le Prestataire est tenu de conserver tous
les documents et pices justfcatves ncessaires pendant la dure du contrat
et, au-del, pendant le dlai prvu par les politques du Client telles quelles
ont t notfes au Prestataire ou, dfaut, conformment aux dispositons du
prsent Contrat et des lois et rglements applicables, tant prcis que le dlai
retenu ne peut tre infrieur six (6) mois ;
f. et mener des investgatons conjointes avec le Prestataire, ou identfer les cas
prsums de fraude ou derreur comptable signifcatve.
Ces audits sont efectus par le Client ou par un Tiers dsign cet efet. Le droit
daudit confr au Client couvre galement les cas dans lesquels laudit est demand
par un ters, notamment par ladministraton fscale, les socits dassurance, les
organismes publics, les rgulateurs et les clients du Client.
Annexe 3 : Exemple de clause daudit
CIGREF - IFACI - AFAI - Mars 2013
34
Toutefois, ce ters ne saurait tre un concurrent du Prestataire et doit possder une
exprience avre. Le Client sengage confrmer au Prestataire, sa demande, que
lauditeur a une obligaton de confdentalit. Lauditeur devra se conformer aux
rgles de confdentalit et de scurit applicables dans les locaux du Prestataire
soumis laudit qui lui auront t communiques pralablement.
Le Prestataire sengage assurer la disponibilit du personnel et des systmes
ncessaires pour faciliter laudit. La mission ne doit pas perturber anormalement
les prestatons de services confes au Prestataire. Le Client et ses auditeurs auront
accs aux locaux ou aux donnes confdentelles du Prestataire, de ses Socits
aflies ou du Client, ds lors quils sont utliss pour excuter les services.
Le Client ne bnfcie daucun accs :
- aux informatons concernant les autres clients du Prestataire ni aux informatons
sans lien avec les services,
- aux sites ou locaux du Prestataire (ou aux partes de ces derniers) sans lien
avec le Client ou les services,
- aux documents du Prestataire relatfs au calcul de ses frais gnraux internes
ou de sa rentabilit,
- aux rapports daudit usage interne du Prestataire. Laccs du Client aux sites
ou aux locaux du Prestataire (sil est justf) est soumis aux rgles de scurit
ainsi quaux contrles et la surveillance du Prestataire.
Laudit est efectu au maximum deux fois par an, sauf sil est impos par un ters
tel que les autorits lgales, ladministraton fscale, les socits dassurance,
les organismes publics ou les rgulateurs. Le Client sengage dployer des
eforts raisonnables pour informer le Prestataire par un pravis de dix (10) jours
ouvrables. Ce dlai est ramen deux (2) jours ouvrables si laudit est demand
par un organisme public ou une autorit de tutelle, ou en cas durgence. En outre,
le Client sengage informer le Prestataire du primtre de lAudit.
Si lexercice de ces droits daudit et dinspecton afecte la capacit du Prestataire
remplir les obligatons mises sa charge par le prsent contrat, le Prestataire
en informe le Client et sengage tudier avec celui-ci, sa demande, les moyens
dviter un tel impact. Si cet impact est signifcatf et si le Client dcide nanmoins
dexercer ses droits daudit et dinspecton, et sous rserve que le Prestataire
nait mnag aucun efort pour sacquiter de ses obligatons conformment au
prsent contrat malgr lexercice du droit daudit et dinspecton, le Prestataire est
alors afranchi de ces obligatons (et de toute responsabilit pour manquement
celles-ci) pour autant quelles soient afectes et pendant la dure de cet impact.
Si lexercice du droit daudit entrane des cots signifcatfs pour le Prestataire,
celui-ci en informe le Client et cete queston est examine par les partes.
Guide pratique - Cloud computing et protection des donnes
35
Si laudit met en vidence un manquement du Prestataire aux obligatons mises
sa charge par le prsent contrat ou par les rgles de droit qui lui sont applicables
en sa qualit de prestataire des Services, le Prestataire prend rapidement toutes
les mesures ncessaires pour remdier ce manquement. Les dispositons de la
prsente clause sappliquent sans prjudice des autres droits confrs au Client le
cas chant par le prsent contrat ou par le droit en vigueur.
Le Prestataire communiquera au Client, dans les meilleurs dlais, une synthse
des rsultats des audits raliss par tout membre du Groupe du Prestataire, par
des sous-traitants ou par leurs agents ou reprsentants (y compris les auditeurs
internes ou externes), ou communiquera au Client, sa demande, une synthse
concernant tout audit efectu par des autorits de tutelle ou organismes de
certfcaton, ds lors que ces audits metent en vidence des circonstances qui sont
lies au service et qui pourraient avoir une incidence dfavorable sur la capacit
de certains membres du groupe Prestataire ou sous-traitants excuter certains
des services conformment au prsent contrat ou respecter le droit applicable
au Prestataire, ou qui sont susceptbles davoir toute autre incidence ngatve sur
un membre du groupe du Client.
Chacune des Partes supporte ses propres cots dans le cadre des inspectons ou
des audits raliss en vertu du prsent artcle XX. Toutefois, il est convenu que le
Prestataire prendra sa charge les cots raisonnables engags par le Client aux fns
dun audit (y compris les honoraires raisonnables des auditeurs ou des experts-
comptables) sil savre, au vu des rsultats de cet audit, que le montant factur
au Client au ttre de la fourniture de certains services a t largement surestm,
ou que le Prestataire a commis un manquement signifcatf aux obligatons mises
sa charge par le prsent contrat, tant entendu que le Prestataire ne sera tenu
de supporter les cots raisonnables susmentonns du Client uniquement si ces
cots se rapportent la (aux) parte(s) de laudit qui a (ont) mis en vidence la
surestmaton ou la non-conformit.
CIGREF - IFACI - AFAI - Mars 2013
36
Bibliographie
Recommandatons
Ouvrages / Publicatons
Unleashing the Potental of Cloud Computng in Europe [communicaton
from the commission to the European parliament, the council, the European
economic and social commitee and the commitee of the regions] / European
Commission. 2012.
Synthse des rponses la consultaton publique sur le Cloud computng
lance par la CNIL doctobre dcembre 2011 et analyse de la CNIL.
CNIL, 2012.
Recommandatons pour les entreprises qui envisagent de souscrire des
services de Cloud computng / CNIL. 2012.
Auditng Outsourced Functons: Risk Management in an Outsourced World /
Mark Salamasick / IIA, 2012.
Guide dhygine informatque : quelques recommandatons simples
1
/ Agence
natonale de la scurit des systmes dinformaton. ANSSI, 2012
Protecton de linformaton dentreprise et Cloud computng / INHESJ, CIGREF.
2012.
Principes directeurs pour ladopton et lutlisaton du Cloud computng / ouv.
col. ISACA, 2012.
Enterprise risk management for Cloud computng / Crowe Horwath, et al.
COSO, 2012.
Principes directeurs pour ladopton et lutlisaton du Cloud computng / ouv.
col. ISACA, 2012.
Global Technology Audit Guide: Information technology outsourcing, 2nd
ed. / Bradley C. Ames, et al. IIA, 2012.
Quanttatve Estmates of the Demand for Cloud Computng in Europe and
the Likely Barriers to Up-take: fnal report. / David Bradshaw, et al. IDC, 2012.
1
Version 0.1 soumise appel commentaires jusquau 15 novembre 2012
Guide pratique - Cloud computing et protection des donnes
37
Cloud computng market maturity: study results / ouv. col. - Cloud Security
Alliance ; ISACA, 2012.
Security Consideratons for Cloud Computng / ouv. col. ISACA, 2012.
Calculatng Cloud ROI : from the customer perspectve / ouv. col. ISACA, 2012.
Gouvernance du systme dinformaton / ouv. col. AFAI ; IFACI ; CIGREF, 2011.
SaaS dans le SI de lentreprise - La vision des grandes entreprises / ouv. col.
CIGREF, 2011.
IT Control Objectves for Cloud Computng: controls and assurance in the
Cloud / ouv. col. ISACA, 2011.
Cloud Computng : Impact du Cloud Computng sur la foncton SI et son
cosystme / Guillaume BOUDOT, Jrme DEJARDIN, Stphane ROUHIER.
CIGREF, 2010.
Cloud Computng Management Audit / Assurance Program / Norm Kelson.
ISACA, 2010.
Global Technology Audit Guide : Informaton security governance / Paul Love.
IIA, 2010
Matriser les risques de linfogrance / Agence natonale de la scurit des
systmes dinformaton. ANSSI, 2010.
Positon du CIGREF sur le Cloud computng. CIGREF, 2010.
Cloud Computng: Implementaton, Management, and Security / John W.
Ritnghouse, James F. Ransome. Taylor & Francis Group ; CRC press , 2009.
Security Guidance for Critcal Areas of Focus in Cloud Computng V.3 - Cloud
Security Alliance, 2011.
Cloud Computng : avantages pour lentreprise et perspectves de scurit, de
gouvernance et dassurance / ouv. col. ISACA, 2009.
Cloud Controls Matrix V.1.3 / Cloud Security Alliance, 2012.
Top 10 Big Data Security and Privacy Challenges / Cloud Security Alliance, 2012
Consensus Assessments Initatve Questonnaire V.1.1 / Cloud Security Alliance,
2011.
Personal Data: The Emergence of a New Asset Class / World Economic Forum,
2011.
Cloud : Les fondamentaux vus par les Grandes entreprises, 2013
( paratre)
CIGREF - IFACI - AFAI - Mars 2013
38
Colloques / Confrences
Artcles
The 2012 European Cloud computng conference : making the transiton from
Cloud friendly to Cloud actve (21st march 2012)
The perfect storm : threats end risks in the Cloud [Internal auditng European
conference, Madrid, 2011] / Ramss Gallgo. 2011.
Aspects juridiques du Cloud computng [confrence Scurit de la virtualisaton
et du Cloud computng, 14 avril 2010, Paris] / Blandine Poidevin. CLUSIF, 2010.
Cloud computng et scurit [confrence Scurit de la virtualisaton et du
Cloud computng, 14 avril 2010, Paris] / Pascal Sauliere. CLUSIF, 2010.
Cloud Storage - Burstng Through the Hype / Rico Barrasso, Mat Wallace, in
ISACA Journal, vol. 5, 2012.
Cloud Risk - 10 Principles and a Framework for Assessment / David Vohradsky,
in ISACA Journal, vol. 5, 2012.
Les enjeux de linformatque en nuage [dossier] / Sarah Belouezzane, in Le
Monde du jeudi 12 avril 2012.
- Pour les entreprises, une voluton qui atre et inquite la fois
- Les centres de donnes, au cur du systme / Florence Puybareau
- Amazon, le pionnier / Sarah Belouezzane
- Un nouveau mode de consommaton / Florence Puybareau
- Dassault Systmes ne partcipera pas au Cloud natonal [entreten avec
Bernard Charls] / Florence Puybareau
Alerte au Cloud computng / Eric Blot-Lefevre. in Expertses, mars 2012.
Securing Cloud-based applications : how enterprise sigle sign-on was
implemented to drive value / Michael Mendelsohn, et al, in ISACA Journal
vol. 1, 2012.
Guide pratique - Cloud computing et protection des donnes
39
IT Governance and the Cloud : Principles and Practce for Governing Adopton
of Cloud Computng / Ron Speed. in ISACA Journal, vol. 5, 2011.
Le Cloud computing en cinq ides reues, in Chef dentreprise magazine
hors-srie, dcembre 2011.
Adopton of new technologies outpacing eforts to control resultng security
and other risks. CAE Bulletn, Nov. 30, 2011.
La scurit dans le Cloud : Une Approche Fournisseur Base sur les Risques /
Christophe Auberger. inforisk du 21 novembre 2011.
Le Cloud Computng, un atout prcieux pour la geston des risques et des
assurances / Pascal Stopnicki. inforisk du 28 octobre 2011
Le Cloud peine encore convaincre les entreprises / Romain Gueugneau.
Les Echos du 5 octobre 2011.
Linformatque dans les nuages / Christne Garcia, Sylvie Sadones, in Audit &
Contrle internes de septembre 2011.
Governance in the Cloud / Joseph Kirkpatrick, in ISACA Journal, vol. 5, 2011.
Branchs sur lavenir : progrs bien tangible ou concept abstrait ? Quoiquil en
soit, linfonuagique ofre des avantages importants aux entreprises. / Dwayne
Bragonier, in Camagazine de septembre 2011.
Auditng the Cloud / Brad Ames, Frederick Brown, in Internal auditor, august
2011.
The Borderless Enterprise / Neil Baker, in Internal auditor, august 2011.
Head in the Clouds / Dennis McGufe, in Internal auditor, august 2011.
Cloud computng risk assessment : a case study / Sailesh Gadia. in ISACA
Journal, vol. 4, 2011.
Every Silver Cloud Has a Dark Lining: A Primer on Cloud Computng, Regulatory
and Data Security Risk / Carl Cadregari, Alfonzo Cutaia, in ISACA Journal,
vol. 3, 2011.
Cloud computng [slideshow] / The IIA. in Internal auditor.
Cloud computng
et protecton des donnes