Défilez vers le bas

Contrat et sécurité dans le Cloud

14 juin 2016

L’un des sujets qui est le plus souvent associé aux débats sur le Cloud Computing est la sécurité informatique. Cette question est parfois un frein à l’adoption du Cloud dans l’entreprise, qui voit se multiplier les menaces de piratage et s’interroge sur l’opportunité de se « déposséder » de ses actifs incorporels.

Les offres progressent, mais c’est le contrat qui doit donner force aux précautions contre les atteintes aux données placées dans le Cloud. Or, la sécurité du Cloud ne dépend pas que d’un unique article contractuel consacré aux dispositifs mis en place au sein d’un datacenter. En réalité, il existe un faisceau de précautions contractuelles à rédiger, qui contribuent ensemble à déterminer la sécurisation du service Cloud (SaaS, IaaS, PaaS, etc.). Sans entrer dans leur détail à ce stade des travaux de la Commission Sécurité d’EuroCloud, il est utile de rappeler ci-après les concepts à utiliser dans le contrat.

1. Connaître ses besoins et ses données

Il importe d’abord que l’entreprise raisonne à partir de la nature et de l’importance stratégique de ses données et de ses applicatifs (gestion de la paie, ERP, CRM, messagerie professionnelle, plateforme collaborative, etc.), et procède à une analyse des risques, avant de rechercher le service Cloud adapté à ses besoins. Mettre en place une sécurité cohérente avec la nature des données externalisées constitue une excellente entrée en matière pour recourir sereinement au Cloud.

Pour ce faire, l’entreprise doit établir la classification de ses données, et en particulier leur degré de criticité dans les activités de l’entreprise : on n’externalise pas la gestion de données commerciales comme celle de données stratégiques couvertes par le secret d’affaires ; certaines données dites « sensibles » (données de santé, données bancaires…) doivent entraîner des précautions supplémentaires. L’entreprise a tout intérêt à se faire conseiller par des professionnels afin de savoir (i) quelles sont les obligations qui pèsent sur elle sur le plan légal et réglementaire, pour la conservation de telles données, et afin d’identifier (ii) les prestataires et services cloud susceptibles de répondre à ces exigences.

2. Définir une politique de sécurité des données

Les grands comptes se dotent souvent de « politiques de sécurité des systèmes d’information» qui présentent des de contraintes déjà classiques dans le monde de l’informatique (gestion des accès et des habilitations, classification des données, traçabilité des accès, etc.). Il est toujours possible pour l’entreprise de demander que le service Cloud qu’elle commande respecte sa PSSI – ce qui sera d’autant plus facile que cette PSSI aura justement pris en compte les spécificités du SaaS. Mais les entreprises plus petites ne disposant pas toujours de tels documents internes, il est alors conseillé de préparer, a minima, un « plan d’assurance sécurité (PAS) » ou, mieux encore, de demander au prestataire Cloud qu’il l’établisse et l’annexe au contrat.

Dans tous les cas, il est important que le contrat consacre une annexe à l’exposé des mesures logiques et physiques de protection des serveurs et du datacenter dans lesquels les données du client sont hébergées (logiciels de sécurisation et verrouillage des serveurs, gestion des identifiants, traçabilité des accès et des actions, pare-feu, anti-virus, contrôle d’accès aux locaux, authentification forte, serveurs PCI-DSS, serveurs dédiés et/ou partitionnés, etc.). Cette annexe constituera le référentiel contractuel des mesures à respecter par le prestataire.

Une telle annexe ne constituera jamais une garantie contre une introduction frauduleuse sur le système du prestataire ou une anomalie logicielle détruisant les données, ce pourquoi le PAS susmentionné s’accompagne le plus souvent d’engagements de sauvegarde et de reconstitution des données (fréquence à définir), de redondance des ressources, et même d’un Plan de Continuité d’Activité ou de Reprise d’Activité (PCA et PRA).

3. Se référer à des normes pertinentes, et prévoir leur vérification

Seul le contrat peut rendre impérative la conformité du service Cloud à une norme technique. Beaucoup d’éditeurs Cloud proposent bien entendu des services dont ils s’assurent qu’ils répondent à des normes, mais il reste à mentionner lesquelles (ISO 27001, SAS 70 remplacée par SSAE 16, R.G.S. de l’ANSSI, etc.).

Le service répondra donc aux préconisations de ces normes techniques. Mais se référer à des normes génériques ne suffit pas, parce que ces normes sont complexes et pas nécessairement adéquates. Le renvoi monolithique à une norme, sans bénéficier d’un conseil sur les caractéristiques de cette norme utiles à l’entreprise, pourrait rester inefficace.

En outre, un engagement ne vaut que s’il est assorti de sanction : quid la question transversale de la responsabilité contractuelle en cas de manquement du prestataire à ses engagements ? Sont-ils de moyens ou de résultat ? Sont-ils assortis d’une clause pénale, ou le client se réserve-t-il le droit de rechercher l’indemnisation de l’ensemble de ses préjudices ? Comment le prestataire doit-il contrôler la délicate question des dommages indirects ? Toutes questions auxquelles sont rompus les rédacteurs de contrats, mais qui dépendant là encore de la criticité et de l’importance stratégique des données.

Enfin, l’engagement contractuel de sécurité doit être vérifiable (d’où la nécessité de stipuler dans le contrat une faculté d’audit de l’installation dédiée au client au sein du datacenter du prestataire). Les clauses d’audit sont variées, et il convient de prévoir des stipulations proportionnées au service acquis. L’audit ne doit pas menacer la production du prestataire, ni porter sur son secret d’affaires ou les informations relatives à ses autres clients.

4. Examiner l’opportunité de mettre en place une liaison sécurisée

Le traitement distant des données de l’entreprise via un SaaS implique qu’elles transitent sur internet, ressource complexe dont la sécurité ne peut pas être garantie. Ainsi, les clauses d’exclusion de responsabilité des prestataires cloud relatives au transit des données sur internet sont parfaitement normales : il n’est pas possible d’y assurer la sécurité de bout en bout.

Des offres existent pour amoindrir les menaces, qui consistent à mettre en place des liaisons sécurisées (VPN) ou à déployer des services « gestion unifiée de la menace » (UTM), qui peuvent compléter un service SaaS. Cette question prend une acuité particulière selon que le client recourt à un Cloud intégralement public, un « Cloud privé » ou un Cloud hybride, qui va interconnecter le réseau du prestataire et celui du client pour répartir différentes portions du service sur leurs deux systèmes, selon des configurations spécifiques.

Il est en outre impératif d’assortir de telles options d’une vraie responsabilisation des utilisateurs, tant sur l’utilisation des données que sur le respect des consignes de sécurité, car sécuriser les liaisons ne sert à rien si les données arrivent sur des terminaux non sécurisés (par exemple les terminaux personnels des salariés de l’entreprise, qu’il s’agisse de smartphones, de tablettes ou de PC).

5. Examiner l’opportunité de chiffrer les données.

Dès lors qu’elles vont transiter sur internet, et même si une liaison sécurisée est déployée entre le site du client et le datacenter du prestataire, la criticité des données doit pousser l’entreprise à s’interroger sur la nécessité de chiffrer les plus sensibles.

Les procédés de cryptographie sont divers, et là encore il est utile de se faire conseiller sur les modalités d’un chiffrement efficace (clé publique ou privée, cryptographie asymétrique, etc.) en fonction de la classification des données effectuée en amont. Le chiffrement peut alors devenir une exigence contractuelle, généralement insérée dans le PAS.

6. S’assurer d’un taux de disponibilité du service

La disponibilité du service cloud n’apparait pas comme liée à la sécurité des données, de prime abord. Néanmoins, elle participe de la sécurité globale du service, puisqu’elle joue sur sa fiabilité. Généralement, les prestataires cloud proposent des engagements chiffrés de disponibilité, mesurés sur une période de référence, et souvent assortis de pénalités.

La notion de disponibilité est directement liée à l’aspect « hébergement » des services cloud. Elle adresse toutes les questions d’interruption de service, de ralentissement du réseau, et conditionne en réalité l’efficacité du service commandé. Si le prestataire ne fournit pas d’engagement ferme sur ce point, c’est l’ensemble de la fiabilité du service qui est compromise, et de manière indirecte, les actifs externalisés du client. Toutefois, les propositions des prestataires SaaS en la matière (pénalités libératoires ou non libératoires, crédit de service, etc.) sont très souvent conditionnées par ce que propose leur sous-traitant hébergeur, qui est directement en charge d’assurer l’accessibilité sinon permanente, en tous cas optimale, à leur datacenter.

7. Commander la maintenance corrective et les mises à jour du Service

Les services cloud comprennent par construction leur propre maintien en conditions opérationnelles. Il est donc important que le contrat stipule la procédure de signalement des anomalies du fonctionnement opérationnel du service, et les prestations de maintenance qui sont alors mises en œuvre par le prestataire. Les stipulations relatives à la maintenance s’accompagnent souvent d’une convention de service (SLA).

De même, la mise à jour et l’évolution fonctionnelle d’un service Cloud est le plus souvent décidée par le prestataire, plus ou moins en fonction des besoins remontés par leurs clients (sauf en cas de commande d’adaptation spécifique du cloud, assez rare en vertu justement de son caractère standardisé et mutualisé). Cette évolution fonctionnelle, que le client doit stipuler comme étant insusceptible de lui faire perdre le bénéfice d’une fonctionnalité ou de modifier les performances convenues, est en réalité le moyen de continuer à bénéficier d’une sécurité optimale du service. En effet, la plupart des éditeurs ne garantissent plus la moindre sécurité si le client n’accepte pas d’adopter la nouvelle version du service, et, s’agissant d’un Cloud distant, on voit mal quel intérêt aurait le client à rester sur une version antérieure dès lors qu’il jouit d’un service parfaitement identique, mais actualisé.

8. Contrôler la localisation des datacenters.

La notion de « cloud souverain » est parfois mentionnée pour répondre à l’inquiétude des clients qui recourent à des prestataires étrangers, dont il est apparu que leurs services pouvaient être accessibles à des tiers (partenaires commerciaux ou services de renseignement) qui compromettent à la fois la sécurité des données et la confidentialité des activités du client.

Après le déploiement du Patriot Act américain (et les scandales à répétition liés aux pratiques de certains services de renseignement dans le monde), des offres de « cloud souverain » sont apparues, à la fois pour opposer une sécurité aux intrusions d’autorités étrangères, mais également pour assurer la soumission des serveurs localisés en Europe à la législation de protection des données personnelles (infra).

Sans entrer dans le détail des conséquences du choix d’un datacenter situé en Europe, et en dépit du caractère relatif de cette notion de « cloud souverain », il est vrai que la localisation du prestataire, et en tous cas de ses serveurs, sur le territoire soumis à la législation européenne, apporte une sécurité complémentaire aux données personnelles, puisqu’alors le datacenter est soumis à un certain nombre de législations locales.

9. Exiger la conformité aux législations française et européenne de protection des données personnelles.

La « dataprotection » n’est pas l’objet du présent article, mais bien entendu la sécurité du cloud est indissociable de la notion de confidentialité, qui met en jeu la protection des données personnelles qui sont conservées sur les serveurs du prestataire.

Il est indispensable aujourd’hui pour l’entreprise d’exiger de son prestataire qu’il traite et conserve les données personnelles du client (et le plus souvent, des clients du client !) dans des conditions conformes aux exigences de la directive européenne 95/46/CE du 24 octobre 1995 et de la loi française n°78-17 du 6 janvier 1978 dite « informatique et libertés » (textes d’ailleurs remplacés par le « paquet données personnelles » du 14 avril 2016, composé d’un Règlement général sur la protection des données et d’une Directive relative à la protection des données à caractère personnel à des fins répressives, et dont EuroCloud se saisit ces jours-ci).

Si le prestataire n’est pas lui-même européen ou si le traitement implique des flux transfrontaliers de données en dehors de l’UE, alors des précautions complémentaires sont à prendre, et notamment, s’assurer que le prestataire « encapsule » les flux de données dans une protection technique et juridique conforme aux exigences européennes (« clauses contractuelles types », « binding corporate rules »…). Il ne s’agit là toutefois que de quelques précisions dans un domaine qui gagne en complexité et en importance à mesure que se déploie l’économie de la donnée.

Enfin, l’anonymisation des données personnelles constitue une autre forme de neutralisation des données, qui permet d’intensifier les cas d’usage et d’écarter les contraintes de la législation européenne, lorsqu’il est possible de ne travailler que sur des données dénuées de tout caractère identifiant.

10. Prévoir la réversibilité du service et la restitution des données.

La sécurité des données de l’entreprise dépend aussi, in fine, de sa capacité à les récupérer, pour les traiter sur son propre système d’informations (réinternalisation) ou les confier à un autre prestataire. Clairement, l’externalisation des processus de l’entreprise ne doit s’envisager qu’en songeant également aux modalités de réinternalisation de ceux-ci.

Par défaut, la réversibilité d’un service Cloud se résume à la récupération des données, qui peut prendre plusieurs formes mais qui est de plus en plus automatisée. Toutefois, en fonction notamment de la criticité des données, de la complexité des traitements, de la destination du service, il peut être utile, sinon indispensable, de contractualiser un plan de réversibilité détaillant les modalités, conditions et coûts de l’assistance que le client commandera au prestataire à la fin de son abonnement. Le plan de réversibilité devra traiter en particulier des formats des données restituées et des délais d’exécution.

Comme le plan de réversibilité relève toujours du contrat, la mauvaise exécution de celui-ci peut engendrer des dommages et donc une obligation d’indemnisation. Mais comme on se situe à l’extrême fin de la prestation, parfois la jurisprudence intervient pour rappeler aux parties en quoi consiste la jurisprudence.

11. Assurer la prise de conscience des utilisateurs

En matière de Cloud comme en tout sujet technique, les principales failles de sécurité sont souvent situées « entre le clavier et le fauteuil ». Cela confirme la nécessité pour l’entreprise de disposer d’une charte informatique par laquelle elle contraint ses collaborateurs à adopter des pratiques en cohérence avec les dispositifs de sécurité engagés sur le service Cloud. On retrouve ici notamment la question de la gestion des identifiants et des accès, celle de la gestion du BYOD, etc.

S’il ne s’agit pas ici d’une stipulation que le client peut introduire à la charge du prestataire Cloud, en revanche il pourrait s’agir d’une préconisation, voire d’une exigence contractuelle du prestataire pour que la sécurité qu’il déploie ne soit pas battue en brèche par des erreurs parfois grossières de manipulation des utilisateurs.

La gestion contractuelle de la sécurité d’un service Cloud implique donc des stipulations contractuelles précises qui doivent être élaborées en concertation par l’opérationnel et le juriste. Dans tous les cas, le contrat doit traiter les notions suivantes, qui ensemble construisent le référentiel de sécurité du service Cloud : classification des données, définition d’une politique de sécurité, référence aux normes techniques, sécurisation des liaisons externes, chiffrement des données, disponibilité du service, maintenance réactive, dispositifs de secours, individualisation des ressources matérielles, gestion des habilitations, traçabilité des accès, localisation du datacenter, déploiement d’une dataprotection conforme à la loi, et sensibilisation des utilisateurs aux procédures de sécurité.

C’est en traitant de l’ensemble de ces sujets dans le contrat, que l’entreprise peut recourir sereinement au cloud, et bénéficier ainsi d’un niveau de sécurité bien meilleur que celui qu’elle aurait pu mettre en place elle-même sur ses propres sites.

Cet article a été publié initialement sur le blog de la Commission Sécurité de l’association EuroCloud, à laquelle le Cabinet participe.

ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds