Tribune : cloud, les enjeux de la conformité et de la confidentialité

Cette tribune porte sur le cloud computing et ses enjeux en termes de confidentialité des données, de sécurité et de conformité. Elle nous est proposée par Eric Blum, CTO de BMC Software EMEA.

La technologie cloud apporte avec elle son lot d’enjeux de conformité. Une entreprise ne peut tout simplement plus protéger ses services derrière un pare-feu, aussi cadenassé soit-il, quand ceux-ci sont hébergés dans les datacenters d’Amazon, de Microsoft ou de Google. Travailler dans le cloud suppose que de nombreux aspects de sécurité et de conformité soient gérés hors site. Alors que de plus en plus d’entreprises s’orientent vers diverses formes de cloud computing, de nouveaux risques de conformité se posent.

L’exemple de l’Union européenne

L’Union européenne (UE), par exemple, est en train de développer de nouvelles règles de confidentialité des données, encore au stade de propositions, avec de lourdes amendes en cas d’infraction. Ces règles régissant la collecte, l’utilisation et la circulation des données personnelles des clients, fournisseurs ou employés s’appliqueront aux sociétés basées dans l’UE, mais aussi aux multinationales en relation commerciale avec l’UE ou amenées à traiter des données concernant des citoyens européens. Ces propositions réglementaires vont devoir être approuvées par les États membres, un processus qui peut prendre jusqu’à deux ans, avant leur entrée en vigueur deux ans plus tard. Et même si elles risquent de subir quelques modifications au cours du processus, ces propositions donnent un aperçu du sérieux avec lequel les législateurs européens envisagent les questions de confidentialité.

Alors qu’il faudra peut-être attendre quatre ans avant que de nouvelles règles de confidentialité soient mises en place dans l’UE, chaque pays pourra adopter la réglementation plus tôt. Dans tous les cas, ce délai correspond parfaitement au temps de planification des grandes initiatives informatiques, comme celles du cloud computing. Ces nouvelles réglementations auront un impact considérable sur les projets cloud, mettant fin à l’approche simpliste consistant à tout exécuter dans le cloud public sans se préoccuper des problématiques de conformité. Tous les fournisseurs de services cloud basés aux États-Unis sont soumis au Patriot Act, y compris pour leurs activités européennes ; des obligations légales qui risquent d’entrer en contradiction avec les nouvelles réglementations de confidentialité des données de l’UE. L’heure est donc venue de commencer à s’attaquer à ces problèmes complexes de sécurité des données.

Fournisseur de services, législation et souveraineté des données

Les entreprises envisageant des approches de cloud hybride ou public doivent désormais s’inquiéter de la souveraineté des données et de la législation à laquelle leurs fournisseurs sont susceptibles d’être soumis. Cela ne signifie pas que les entreprises ne peuvent pas ou ne doivent pas avoir recours aux grands fournisseurs de services américains, mais elles devront privilégier les plates-formes cloud satisfaisant les exigences de conformité de chaque service et capables de placer des composants sur les ressources d’infrastructure, de manière dynamique et intelligente, en réponse à ces exigences. Bien sûr, la conformité n’est qu’une des dimensions qui entrent en considération, avec la performance, la sécurité, la compatibilité applicative, la connectivité, etc. Votre plate-forme cloud doit pouvoir fournir des capacités de placement intelligentes, sachant localiser les ressources informatiques, de réseau et de stockage pour répondre à tous ces types d’exigences. Elle doit aussi permettre de fournir les rapports requis, de façon sure et économique, pour répondre aux exigences d’audit.

Dans ce contexte, un nouveau type de cahier des charges doit voir le jour dans lequel vous définissez vos besoins d’information et de contrôles. Plus la technologie choisie offrira de souplesse dans une gestion centralisée de services hétérogènes IaaS, PaaS et SaaS, plus il vous sera possible d’optimiser votre sourcing de services informatiques.

Pour les fournisseurs européens, une nouvelle opportunité de marché se présente qui consiste à offrir des services conformes aux nouvelles réglementations. Il ne suffit pas de vérifier que le datacenter est situé physiquement dans l’UE. En effet, le durcissement des nouvelles réglementations concerne également les failles de sécurité, avec l’obligation de signalement des infractions sous 24 heures. Les fournisseurs de services doivent donc offrir une infrastructure partagée mutualisée et sécurisée et apporter des garanties de sécurité renforcée, au tout début et sur la longueur, de la plate-forme et des services fournis. Ils doivent mettre en œuvre des possibilités d’interfaçage avec les systèmes de gestion de l’informatique des clients afin de permettre la gestion de bout en bout des process de changement et de conformité.

Perspectives d’avenir

Il faut examiner les questions de sécurité et de conformité dès le stade de planification de toute initiative cloud. Les nouvelles réglementations de sécurité à venir impliquent un risque accru de non-conformité. Adopter la bonne plate-forme cloud peut vous aider à relever ces défis, aujourd’hui et à l’avenir.

Crédit photo : © BMC Software