Avec des projets de digitalisation de plus en plus nombreux et une tendance accrue au travail à distance, l’adoption de services informatiques en nuage (ou « Cloud ») ne cesse de se répandre. Seulement, vos données se trouvent-elles là où vous le pensez ? Et disposez-vous des moyens adéquats pour assurer leur protection ?
Réticents à migrer leurs données dans le Cloud il y a encore peu de temps, les organisations voient désormais de plus en plus d’avantages et d’opportunités dans cette démarche : impact sur les coûts, haute disponibilité, accès à des ressources illimitées et de qualité de la part des fournisseurs de services. Pour autant, des garanties pertinentes liées à l’externalisation des services et la protection des données doivent être envisagées. Selon une étude1 récente menée par EY et l’Institut de Finance International : « pour plus de 85% des banques, la sécurité de leurs propres données et celles de leurs clients, hébergées dans le Cloud, constituent une préoccupation majeure ».
Nécessité de bien choisir son fournisseur de services Cloud.
Dans les faits, un data center « Cloud » ne diffère en rien d’un data centre « traditionnel », dans la mesure où, dans les deux cas, l’infrastructure, les systèmes et les données sont hébergés, voire gérés, par une partie tierce. Toutefois, dans le cas du Cloud, les données transitent en continu d’un data center à l’autre, d’un pays à l’autre, voire d’une région à l’autre, en fonction des ressources disponibles. Au regard d’une technologie en constante évolution, d’acteurs toujours plus variés et de flux continus de données, il n’est pas évident de connaître la localisation physique de ces données.
Plusieurs autorités de supervision (l’Autorité bancaire européenne (ABE) au niveau européen ou la CSSF au Luxembourg) requièrent la résilience des services (et donc des données) dans au moins un data center localisé au sein de l’Union européenne (UE). En outre, les exigences du règlement général sur la protection des données (RGPD) se doivent d’être toujours respectées, au risque d’exposer votre organisation à des risques de conformité, réputationnels, voire financiers.
Aussi, avant d’opter pour certains services, assurez-vous de mener un processus de diligence rigoureux de votre fournisseur de services Cloud. Parallèlement, il convient d’évaluer les risques relatifs à la protection des données personnelles et privées, puis de mettre en place les moyens nécessaires au contrôle de la sécurité de ces données et d’en superviser les accès.
«Pacta sunt servanda » ou forte obligation des contrats
Bien souvent, les organisations héritent ou s’accommodent de contrats d’outsourcing standards qui ne répondent pas totalement à leurs exigences. La localisation des centres de données, le droit d’audit et le cadre d’évaluation inhérent à cet audit, ou encore le recours par votre fournisseur Cloud à des sous-traitants, demeurent des notions très vagues. Une autorisation est requise, notamment lorsque votre fournisseur souhaite faire appel à d’autres prestataires et externaliser certains services. L’exercice d’une telle option peut cependant vous obliger à terminer le service externalisé car seuls deux choix s’offraient initialement à vous : accepter les conditions de votre fournisseur ou arrêter les prestations externalisées ! Il demeure donc essentiel de prévoir une stratégie de sortie.
La CSSF, l’ABE, ou encore l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) ont récemment publié leurs recommandations et bonnes pratiques en matière de contrats de services. Ainsi, il convient à juste titre de s’assurer notamment de la loi régissant les contrats d’outsourcing, de la localisation des divers data center, des conditions d’outsourcing en cascade, de l’inclusion d’un droit d’audit non rédhibitoire pour l’organisation, ses auditeurs ou encore les autorités de supervision, des obligations de reporting, et enfin de la suppression des données et de leur transfert au terme du contrat.
Enfin, dans une relation commerciale avec un partenaire, il est préférable de toujours négocier les clauses de votre contrat d’outsourcing pour un meilleur respect des exigences réglementaires et une protection optimale de vos données !
Vérification et supervision
Les services fournis par des fournisseurs de Cloud doivent être revus conformément au contrat et à vos obligations réglementaires, mais aussi pour garantir sécurité et confidentialité des données. Les organisations se contentent souvent d’obtenir et de revoir les rapports d’audit ou certifications mis à disposition par leur fournisseur. Directement ou via un recours à des professionnels, il convient de mener des audits indépendants. De plus, assurez-vous que vous disposez des moyens techniques et organisationnels vous permettant d’évaluer régulièrement et à tout instant, où se trouvent vos données, mais également où se situent les administrateurs pouvant y accéder.
La délégation de services n’est pas synonyme de délégation de responsabilité. Il vous incombe de démontrer que vous avez mis en place toutes les mesures et contrôles adéquats assurant la protection et la confidentialité des données.
