La confidentialité, une priorité pour les fournisseurs Cloud

    Sécurité Cloud - posté le 08-03-2016 par Hind Bouzidi

    cloud-vendors-need-to-manage-trust.jpgConsidérée comme la première norme jamais créée pour la confidentialité du Cloud, la norme ISO/IEC 27018 a été publiée en 2014 par l'Organisation internationale de normalisation. Elle définit un ensemble de recommandations, d'objectifs et d'éléments de contrôle pour la protection des données personnelles dans le Cloud.

    « Concrètement, cela implique que les prestataires ne traitent que les informations identifiables de manière personnelle dans le respect des principes de confidentialité définis dans la norme précédente, ISO/IECE 29100 », explique James Bourne de Cloud Computing News.

     

    La confiance est primordiale

    Malgré les avancées significatives survenues au cours des dernières années dans le secteur du Cloud, la confidentialité et la sécurité des données personnelles figurent toujours parmi les freins à l'adoption. En effet, même si la plupart des entreprises utilisent les technologies Cloud et que les consommateurs adoptent de plus en plus de produits et services dématérialisés, il est encore très difficile de savoir exactement si les données stockées en ligne sont sécurisées. Dans les secteurs très sensibles comme la santé et la finance, cette incertitude représente un frein majeur à l'adoption et à la mise en œuvre des solutions Cloud.

    Je pense qu'il s'agit avant tout d'une question de confiance. Certes, le respect d'un ensemble de normes pourra s'avérer insuffisant face aux problèmes de confidentialité les plus avancés (nous en parlerons plus en détail), mais permettra en revanche de stimuler l'adoption à long terme dans les secteurs les plus susceptibles de profiter des avantages du Cloud.

     

    Les fournisseurs doivent tenir compte de l'aspect juridique.

    Avant toute chose, il convient de noter que l'adoption d'un ensemble de directives ne suffira jamais à résoudre le problème pour les fournisseurs, quelle que soit la complexité des normes adoptées. En effet, le Cloud repose sur deux aspects fondamentaux : la technologie et la réglementation. Pour résumer, le Cloud est une technologie internationale véritablement sans frontières : ainsi, vos données peuvent être sujettes à des lois très différentes selon le pays dans lequel elles sont stockées. Même si chez Outscale, vous pouvez choisir l’emplacement de vos données et la réglementation à laquelle elles seront soumises, ce n’est pas le cas chez tous les fournisseurs d’infrastructure Cloud.

    Cela signifie également que des organismes gouvernementaux implantés dans différents pays pourraient essayer d'accéder à vos données simultanément ; dans certains cas, il pourrait même s'agir de gouvernements étrangers.

    Même si la norme ISO 27018 définit clairement un ensemble de directives en matière de stockage, de transparence et d'audit, elle n'a pas le même statut qu'une loi. Ainsi, elle n'est pas reconnue par les organismes réglementaires ou les gouvernements nationaux.

    À mon avis, c'est là la source du problème.

    Prenons un exemple récent : la lutte juridique entre Microsoft et le gouvernement des États-Unis concernant les e-mails de consommateurs stockés en Irlande. D'un côté, Microsoft et son équipe ont fermement défendu la protection des données des consommateurs et des clients. Malheureusement, le gouvernement américain ne l'entendait pas de cette oreille.

    « Dans le cadre de ce procès, le gouvernement a déclaré que lorsqu'un e-mail est stocké dans un espace Cloud reposant sur un data center, il n'appartient plus à l'utilisateur », explique Sam Smith dans un article de Search Cloud Security. « Il est alors considéré comme un élément historique appartenant à l'entreprise fournissant la technologie. »

    « Ce n'est pas que nous refusons de transmettre ces e-mails », continue-t-il. « Le problème est que du point de vue juridique, le gouvernement américain ne peut pas utiliser de mandats de perquisition à l'étranger, alors pourquoi aurait-il le droit d'accéder à des données stockées dans un autre pays ? Ces données sont enregistrées sur des serveurs physiques dont l'emplacement n'est pas choisi au hasard : nous les stockons en fonction de la localisation géographique du client. »

    Nous allons certainement être confrontés à de nombreux cas de ce type à mesure que l'adoption du Cloud progresse : il incombe donc aux fournisseurs Cloud de se tenir aux côtés de leurs clients, et non des législateurs qui connaissent encore mal cette technologie.

     

    Conclusion


    Le Cloud a considérablement évolué au cours des dernières années. Cela étant dit, il lui reste encore un long chemin à faire avant d'arriver à maturité. Pour faciliter cette progression, les prestataires peuvent commencer par adopter des normes internationales garantissant la sécurité, l'intégrité et la confidentialité des données personnelles. En revanche, cela ne suffit pas à résoudre le problème : la transparence est un bon début, mais il faudrait également que les gouvernements du monde entier définissent ensemble des lois internationales sur la confidentialité des données, car les débats liés au Cloud sont loin d'être résolus. Pour s'assurer que cet aspect reste une priorité, il appartient aux prestataires Cloud de faire entendre leur voix.

    Image: Flickr/terryjohnston

    À propos de l'auteur : Hind Bouzidi

    En tant que spécialiste de la communication, Hind fait preuve de pédagogie et de vulgarisation pour mettre à la portée de tous des sujets techniques dans le domaine des nouvelles technologies.

    https://fr.outscale.com

    Commentaires