Sécurité dans le Cloud : risques, contraintes et solutions juridiques

Par Myriam Quéméner, magistrat, docteur en droit

Le « cloud computing[1] » est une technique permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Ce système permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Face au développement de ce moyen de réduire les coûts de stockage des données, il convient de s’interroger d’une part sur les risques que peut faire courir le cloud pour les données numériques qui représentent véritablement le trésor[2] des entreprises et constituent désormais un levier économique fondamental pour leur avenir. Un rapport récent chiffre ainsi à plus de 500 millions d’euros le coût des pannes dans le Cloud[3].

Comme l’indique la CNIL[4], le cloud ne doit pas aboutir à une diminution du niveau de protection des données et à cet égard, il y a lieu de présenter les réponses juridiques nécessaires et nouvelles notamment au regard du règlement européen. 

Cloud et cyber risques

Le recours à des services de cloud computing peut comporter des risques pour la sécurité des données immatérielles des entreprises car l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants[5]. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci. L’accès aux services nécessite en conséquence des connexions sécurisées et une authentification des utilisateurs. Se pose alors le problème de la gestion des identifiants et des responsabilités relatives (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il ne faut pas négliger le risque de perte de données qu’il faut évaluer et anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.).

De même, la mise en place de services de cloud computing comporte des risques au regard de la confidentialité des données. En effet, il existe un risque réel de fuite voire d’atteinte à l’intégrité des données lié au nombre de serveurs et à leur délocalisation.

Il existe aussi des dangers au niveau de la continuité du service car si les investissements en machines et en logiciels spécifiques peuvent permettre à une entreprise d’assurer un minimum l’avenir de son infrastructure informatique, le cloud computing peut comporter des risques au niveau de la pérennité du fournisseur de cette technique.

En outre, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte, comme pour tout projet externalisé, des risques liés à la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

Enfin, le recours au cloud computing fait naître pour l’entreprise qui choisit de mettre en place de tels services, un certain nombre de risques pour les données personnelles et les formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union Européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération les problématiques liées aux données personnelles dans le respect des textes en vigueur.

Cloud et solutions juridiques

Pour limiter les risques[6] il est conseillé de mettre en place comme dans le cadre de tout projet d’externalisation, une convention de niveau de service permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement. Cette convention, également appelée « SLA » (Service Level Agreement) pourra notamment traiter des critères attendus relatifs à la bande passante, tout l’intérêt du cloud computing disparaissant en cas de bande passante de mauvaise qualité. Par ailleurs, le SLA pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités en cas de non- respect du SLA.

Par ailleurs, pour assurer une pérennité des services de cloud computing, il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer une transférabilité des services à d’autres prestataires. Au sein de ce plan, il faut prévoir les facteurs déclencheurs de cette réversibilité comme par exemple la carence du prestataire, les conditions de cette réversibilité et aussi le coût de celle-ci.

Pour pallier la perte de données, il est préconisé de prévoir la réplication de celles-ci sur plusieurs sites distants ou l’engagement de résultat de restauration des données dans des délais contractuels définis, la réplication des données seule permettant d’assurer le client de la récupération des données.

Pour ce qui est de l’intégrité et de la confidentialité des données, il peut être conseillé de convenir avec le fournisseur que celui-ci accepte contractuellement de se soumettre régulièrement à des audits externes. Par ailleurs, il faut s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles. En ce qui concerne plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation. Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE.

Enfin, afin que l’utilisation de services de cloud computing demeure financièrement attractive, il conviendra pour ces entreprises d’être particulièrement vigilantes quant au choix des outils de mesure de consommation des services de cloud computing.

Cloud et nouvelles solutions juridiques de cybersécurité

D’application directe et uniforme, le nouveau règlement prend en compte les évolutions technologiques comme le Cloud Computing. L’impact sur le Cloud du règlement général de protection des données personnelles (GDPR) est important puisque les professionnels ont notamment l’obligation de sécurisation des traitements auxquels ils procèdent[7].

Le règlement encadre le transfert des données personnelles en dehors de l’UE, avec en cas de défaillance, des sanctions pouvant s’élever jusqu’à 4% du chiffre d’affaires comme cela a été détaillé dans un article précédent. Chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données.

Perspectives

Il est important de préciser que ce règlement européen relatif à la protection des données personnelles va donc être source de nombreux changements dans l’industrie du Cloud computing[8]. L’un des points clés de celui-ci est de simplifier les règles européennes de protection des données en établissant un régime uniforme au niveau de l’UE afin de remplacer les législations existantes qui sont actuellement fragmentées du fait des différences propres à chaque Etat membre. Ce règlement va également accroitre la responsabilité du contrôleur et du responsable de traitement des données en imposant à ceux-ci de documenter chaque traitement, d’assurer une protection effective et de notifier aux autorités étatiques chaque cas recensé de violation des données.