Cloud computing Des risques et des solutions Overy... · 2017-08-10 · CONFÉRENCE EUROCLOUD, 26...
Transcript of Cloud computing Des risques et des solutions Overy... · 2017-08-10 · CONFÉRENCE EUROCLOUD, 26...
CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013CYRIL PIERRE-BEAUSSE
Cloud computingDes risques et des solutions
INTRODUCTIONL’INFORMATION DANS L’ENTREPRISE
Double mouvement paradoxalVIRTUALISATION ET DÉCENTRALISATION CROISSANTESDU PATRIMOINE INFORMATIONNEL DE L’ENTREPRISEL’entreprise dépend de plus en plus de ses données, mais pression croissanteà la réduction des coûts, d’où l’attrait pour le cloud
RÉGULATION ET EXIGENCES CROISSANTES EN MATIÈRE DE SÉCURITÉET DE CONTRÔLE DE L’INFORMATIONPression croissante sur les entreprises, triomphe del’approche-risque, sanctions de plus en plus élevées,régulation plus forte
INTRODUCTIONCONTEXTE LUXEMBOURGEOIS
Luxembourg: sensibilité particulièreSECTEUR FINANCIERsecret professionnel et règles de conduite
CIBLE D’ATTAQUES EXTERNESintelligence économique, espionnage financier et industriel
HOSTILITÉ D’AUTRES ÉTATStentatives d’intimidation, de corruption par des autorités étrangères
UN OBJECTIF AMBITIEUXdevenir le coffre-fort numérique de l’Europe
POLITIQUE VOLONTARISTEinvestissements en infrastructures (ex. LuxConnect)législation audacieuse (ex. eArchivage, cloud computing)
PROBLÉMATIQUERAPPEL, OBLIGATION DE SÉCURITÉ
Obligation de sécuriser l’informationSECTEURS RÉGLEMENTÉS: DISPOSITIONS SPÉCIFIQUES§secteur financier: secret professionnel, exigences opérationnelles§communications électroniques: confidentialité des communications,sécurité et intégrité des réseaux§régulateurs (CSSF, CaA, ILR) peuvent imposerdes règles spécifiques
DONNÉES PERSONNELLES: DISPOSITIONS GÉNÉRALES§champ d’application très large§dispositions très précises quant aux mesures de sécurité§sanctions pénales en cas de défaillance
PROBLÉMATIQUERAPPEL, OBLIGATION DE SÉCURITÉ
Deux règles d’or
Conflit apparententre respect de ces principes et recours au cloud...
Quelles solutions?Bien choisir son prestataire
et soigner le cadre contractuel
DONNÉES PERSONNELLESHYPOTHÈSE
DONNÉES PERSONNELLESCLOUD & CONFORMITÉ
INFRASTRUCTUREINFRASTRUCTUREINFRASTRUCTURE,
PLATEFORME, SERVICES
INFRASTRUCTURE, PLATEFORME,
SERVICES
DONNÉESDONNÉES DONNÉESDONNÉES
RESPONSABLE
DU
TRAITEMENTSOUS-
TRAITANTSOUS-
TRAITANT
* L’opérateur ne prend aucune décision/initiative sur les données
DONNÉES PERSONNELLESSCENARIO GÉNÉRAL
Attention à la prise de décisionpar l’opérateur de cloud!DÉPLACEMENT DES DONNÉES (ex. d’un GI à un autre)
RÉTENTION DES DONNÉES (ex. refus de procéder à la destruction ou restitution demandée par le client)DESTRUCTION DES DONNÉES (contre la volonté du client)
TOUT AUTRE ACTE DE TRAITEMENT NON DEMANDÉ PAR LE CLIENT(ex. consultation, utilisation, extraction, transmission, divulgation)
RISQUE DE REQUALIFICATION DE L’OPÉRATEUR EN RESPONSABLE DE TRAITEMENTMISE EN CONFORMITÉ À LA LOI DIFFICILE (IMPOSSIBLE?)
DONNÉES PERSONNELLESAPPLICATION TERRITORIALE DE LA LOI
DONNÉES PERSONNELLESDROITS DES PERSONNES
SOLUTIONSL’OUTIL CONTRACTUEL
Un projet, un contrat
SOLUTIONSCHOISIR SON PRESTATAIRE
Contrôle du prestataire
Sous-traitance en cascade
SOLUTIONSL’OUTIL CONTRACTUEL, PRINCIPES IMPORTANTS
Continuité et réversibilité
SOLUTIONSL’OUTIL CONTRACTUEL, PRINCIPES IMPORTANTS
HORS DU LUXEMBOURG, POINT DE CERTITUDE!Application de législations étrangères régaliennes (ex. Patriot Act)Pre-trial discovery, eDiscoveryInterceptions de communicationsPerquisitions chez les GI ou sous-traitants
PRÉCÉDENTS EN MATIÈRE DE TÉLÉCOMPerquisitions ou interceptions de communicationspermettent de contourner la procédure normalepar voie de commission rogatoire internationale
CLOUD & CONFORMITÉTRANSFERTS OFFSHORE
UN BUSINESS MODEL QUI LAISSETHÉORIQUEMENT PEU DE PLACE À LA FLEXIBILITÉCoûts bas permis par des économies d’échelle, donc standardisationL’offre jumelée de services provoque souvent une distorsionentre l’offre de l’opérateur et les attentes de l’utilisateur
TAKE IT OR LEAVE IT Position standard de la plupart des opérateursIl n’y a aucune raison d’accepter un diktat au prétexte qu’il s’agit de cloud...
Flexibilité zéro?CLOUD & CONTRATPEUT-ON NÉGOCIER?
CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013CYRIL PIERRE-BEAUSSE