Informatique en nuage

L’informatique en nuage réunit un ensemble de technologies et de modèles de services dans lesquels l’utilisation et la livraison d’applications informatiques, la capacité de traitement, le stockage et l’espace mémoire reposent tous sur l’Internet. Elle peut générer des avantages économiques considérables, sachant que les ressources en libre service sont faciles à configurer et à développer sur l’Internet, où elles sont par ailleurs aisément accessibles. En outre, l’informatique en nuage peut également présenter des avantages du point de vue de la sécurité ; les entreprises, notamment les petites et moyennes entreprises, peuvent ainsi acquérir, à un coût marginal, des technologies de haut niveau qui normalement dépasseraient leur budget.

Les fournisseurs d’informatique en nuage offrent toute une gamme de services, allant des systèmes de traitement de données (qui remplacent et/ou fonctionnent conjointement avec les serveurs classiques sous le contrôle direct du responsable du traitement) aux services à l’appui du développement d’applications et aux services d’hébergement avancé, en passant par des solutions de logiciel en ligne qui peuvent remplacer les applications traditionnellement installées sur les ordinateurs personnels des utilisateurs finaux. Il peut s’agir d’applications de traitement de texte, d’agendas et de calendriers, de systèmes de classement pour le stockage de documents en ligne ainsi que de solutions de messagerie externalisée.

Toutefois les avantages que présente l’informatique en nuage exposent leurs clients et utilisateurs à des risques non négligeables. Ces risques peuvent être d’ordre légal (protection des données à caractère personnel) ou financier (exemple : perte/vol de l’intelligence et/ou de l’information) et mettre en question l’existence d’une entité.

Modèles de services

Selon les besoins de l’utilisateur, plusieurs solutions d’informatique en nuage sont proposées sur le marché. Elles peuvent être regroupées en trois catégories ou « modèles de services », qui s’appliquent généralement aux solutions de nuage privé et public :

IaaS (« Infrastructure as a Service », infrastructure en tant que service)

Un fournisseur loue une infrastructure technologique, c’est-à-dire des serveurs virtuels distants, auxquels l’utilisateur final peut faire appel en vertu d’accords et de mécanismes afin de remplacer les systèmes informatiques de l’entreprise dans les locaux de l’entreprise et/ou d’utiliser l’infrastructure louée conjointement aux systèmes de l’entreprise de manière simple, efficace et utile. Ces fournisseurs sont habituellement des acteurs spécialisés du marché qui peuvent s’appuyer sur une infrastructure physique, complexe, qui recouvre généralement plusieurs zones géographiques.

SaaS (« Software as a Service », logiciel en tant que service)

Un fournisseur offre en ligne différents services d’application et les met à la disposition des utilisateurs finals. Ces services visent généralement à remplacer les applications conventionnelles que les utilisateurs doivent installer sur leurs systèmes locaux ; en conséquence, les utilisateurs sont, à terme, censés externaliser leurs données vers le fournisseur particulier. C’est le cas, par exemple, des applications bureautiques web habituelles comme les tableurs, les outils de traitement de texte, les registres et agendas informatisés, les calendriers partagés, etc. ; les services en question comprennent également des applications de messagerie en nuage.

PaaS (« Platform as a Service », plateforme en tant que service)

Un fournisseur propose des solutions de développement avancé et l’hébergement d’applications. Ces services s’adressent en général aux acteurs du marché qui les utilisent pour développer et héberger des solutions basées sur des applications propriétaires pour répondre aux besoins internes ou fournir des services à des tiers. Cette fois encore, les services fournis par un fournisseur PaaS rendent inutiles le recours par l’utilisateur à du matériel ou à des logiciels supplémentaires et/ou spécifiques au niveau interne.

Les risques

L’absence de contrôle

En confiant leurs données à des systèmes gérés par des fournisseurs d’informatique en nuage, les clients risquent d’en perdre le contrôle exclusif et être privés de la capacité de déployer les mesures techniques et organisationnelles nécessaires pour en garantir la disponibilité, l’intégrité, la confidentialité, la transparence, la séparation et la portabilité, ainsi que la possibilité d’intervention. Cette absence de contrôle peut se manifester de la façon suivante :

  • Manque de disponibilité dû à un défaut d’interopérabilité (dépendance vis-à-vis du fournisseur) : lorsque le fournisseur d’informatique en nuage utilise une technologie propriétaire, il peut s’avérer difficile pour un client de déplacer des données ou des documents d’un système d’informatique en nuage à un autre (portabilité des données) ou d’échanger des informations avec des entités qui utilisent des services d’informatique en nuage gérés par plusieurs fournisseurs (interopérabilité).
  • Manque d’intégrité causé par le partage des ressources : un nuage se compose de systèmes et d’infrastructures partagés. Les données traitées par les fournisseurs d’informatique en nuage provenant d’une grande variété de sources (particuliers ouorganisations), des intérêts contradictoires et/ou des objectifs divergents peuvent naître.
  • Manque de confidentialité concernant les demandes adressées par les services répressifs directement aux fournisseurs d’informatique en nuage : les données à caractère personnel traitées dans le nuage peuvent faire l’objet de demandes de la part des organes répressifs des États membres de l’Union européenne (UE) et des pays tiers. Les données à caractère personnel risquent d’être communiquées à des organes répressifs (étrangers) sans que cette communication ne soit fondée sur une base juridique en vigueur dans l’UE, ce qui entraînerait une violation de la législation de l’Union européenne en matière de protection des données.
  • Manque de possibilités d’intervention en raison de la complexité et des modalités de fonctionnement de la chaîne de sous-traitance : le service d’informatique en nuage offert par un fournisseur peut être obtenu en combinant divers services provenant d’autres fournisseurs, qu’il a la possibilité d’ajouter ou de supprimer de manière dynamique pendant la durée du contrat du client.
  • Difficultés pour les personnes concernées d’exercer leurs droits : un fournisseur d’informatique en nuage ne propose pas toujours à ses clients les mesures et outils nécessaires pour permettre au responsable du traitement des données de les gérer à sa guise, par exemple en termes d’accès, de suppression ou de correction.
  • Manque de séparation : un fournisseur d’informatique en nuage peut contrôler physiquement les données de différents clients et établir des liens entre elles. Si les administrateurs se voient accorder des droits d’accès suffisamment privilégiés (postes à risque élevé), ils peuvent établir un lien entre les données de plusieurs clients.

Le manque d’informations sur le traitement (transparence)

Le caractère insuffisant des informations sur les opérations de traitement effectuées par un service d’informatique en nuage présente un risque pour les clients (ou responsables du traitement dans le cadre de traitements de données à caractère personnel) qui se trouvent dans l'impossibilité de prendre les mesures de sécurité nécessaires.

Certaines menaces potentielles peuvent survenir du fait que le responsable du traitement ignore :

  • qu’il existe un traitement en chaîne des données faisant intervenir plusieurs sous-traitants ;
  • que les données à caractère personnel sont traitées dans plusieurs zones géographiques au sein de l’Espace économique européen (EEE). Cette circonstance a un effet direct sur la législation applicable aux litiges relatifs à la protection des données pouvant survenir entre l’utilisateur et le fournisseur ;
  • que les données à caractère personnel sont transférées vers des pays tiers en dehors de l’EEE. Les pays tiers ne fournissent pas toujours un niveau de protection adéquat des données et les transferts ne sont pas toujours garantis par des mesures appropriées (clauses contractuelles types ou règles d’entreprise contraignantes, par exemple) et peuvent dès lors être illégaux.

Mesures techniques et organisationnelles en matière de protection et de sécurité des données

Assurer la disponibilité de l’information

Assurer la disponibilité, c’est garantir un accès fiable et en temps opportun aux données à caractère personnel.

La perte accidentelle de la connectivité au réseau entre le client et le fournisseur ou les problèmes de performance du serveur dus à des actes malveillants, tels que des attaques par déni de service (distribué), menacent gravement la disponibilité dans le nuage.

Parmi les autres risques de disponibilité figurent :

  • les défaillances matérielles accidentelles sur le réseau et dans les systèmes de traitement et de stockage des données en nuage ;
  • les pannes de courant ;
  • d’autres problèmes d’infrastructure.

Le client devrait vérifier si le fournisseur d’informatique en nuage a adopté des mesures raisonnables pour faire face aux risques de perturbations, telles la sauvegarde des liens internet, le stockage redondant et des mécanismes efficaces de sauvegarde des données.

Assurer l’intégrité des données

L’intégrité peut se définir comme la qualité en vertu de laquelle les données sont authentiques et n’ont pas été modifiées par mégarde ou malveillance pendant le traitement, le stockage ou la transmission. La notion d’intégrité peut s’étendre aux systèmes informatiques et exige que les données traitées sur ces systèmes restent inaltérées.

Pour détecter les modifications apportées aux données, il est possible de recourir à des mécanismes d’authentification cryptographiques tels que les codes ou signatures d’authentification des messages.

Toute ingérence portant atteinte à l’intégrité des systèmes informatiques dans le nuage peut être évitée ou détectée grâce aux systèmes de détection et de prévention d’intrusions (IDS/IPS). Ce point revêt une importance particulière pour les types d’environnements réseaux ouverts dans lesquels les nuages fonctionnent généralement.

Assurer la confidentialité de l’information

La confidentialité a été définie par l'Organisation internationale de normalisation (ISO) comme le fait de s'assurer que l'information n'est seulement accessible qu'à ceux dont l'accès est autorisé, et est une des pierres angulaires de la sécurité de l'information.

La confidentialité est l'une des raisons d'être des cryptosystèmes, rendus possibles dans la pratique par les techniques de la cryptographie moderne.

Dans un environnement en nuage, le chiffrement peut contribuer de manière significative à la confidentialité des données s’il est utilisé correctement. Le chiffrement des données (plus particulièrement à caractère personnel et les données soumises à une règlementation dont l’objet est d’assurer une confidentialité des données) devrait être systématique pour les données « en transit » et être utilisé, lorsque c’est possible, pour les données « au repos ». Dans certains cas (par exemple, dans un service de stockage IaaS), un client peut ne pas utiliser la solution de chiffrement proposée par le fournisseur d’informatique en nuage, et décider de chiffrer lui-même ses données avant de les envoyer dans le nuage. Le chiffrement des données au repos requiert de porter une attention particulière à la gestion des clés cryptographiques, car la sécurité des données dépend alors, en définitive, de la confidentialité des clés de chiffrement.

Les communications entre le fournisseur d’informatique en nuage et son client, de même qu’entre les centres de données, devraient être cryptées. La gestion à distance de la plateforme en nuage ne devrait être assurée que par le biais d’un canal de communication sécurisé. Le client qui prévoit non seulement de stocker, mais également de traiter ultérieurement des données dans le nuage (par exemple, en recherchant des enregistrements dans des bases de données), doit garder à l’esprit que le chiffrement ne peut pas être maintenu pendant le traitement des données (à l’exception de calculs très spécifiques). Les mécanismes d’autorisation et l’authentification forte (par exemple, l’authentification à deux facteurs) comptent parmi les autres mesures techniques visant à garantir la confidentialité.

Les clauses contractuelles devraient également imposer des obligations de confidentialité aux employés des clients, des fournisseurs de services en nuage et des sous-traitants.

Séparation (traitement de données à caractère personnel : limitation de la finalité)

Dans les infrastructures en nuage, les ressources telles que le stockage, la mémoire et les réseaux sont partagés entre de nombreux « locataires » (tenants), ce qui crée de nouveaux risques de voir les données divulguées et traitées à des fins illégitimes. L’objectif de protection « séparation », tel que défini à l’article 6, paragraphe 1, point b), de la directive 95/46/CE, transposée dans la loi nationale modifiée du 2 août 2002, a pour objectif de garantir que les données ne seront pas utilisées au-delà de leur finalité initiale et que la confidentialité et l’intégrité seront maintenues.

Pour instaurer la séparation, il faut tout d’abord une structure de gouvernance adéquate des droits et des responsabilités en matière d’accès aux données réexaminée régulièrement : ainsi, il est préférable de ne confier à aucun utilisateur de missions assorties de privilèges excessifs (notamment, aucun utilisateur ou administrateur ne devrait être autorisé à accéder à l’intégralité du nuage). De manière plus générale, les administrateurs et les utilisateurs ne doivent pouvoir accéder qu’aux informations nécessaires pour servir leurs objectifs légitimes (principe du moindre privilège).

Enfin, la séparation dépend également de l’adoption de mesures techniques, telles que le durcissement de l’environnement des hyperviseurs et la gestion appropriée des ressources partagées, si des machines virtuelles sont utilisées pour partager des ressources physiques entre plusieurs clients.

Possibilité d’intervention (obligation dans le cas de traitement de données à caractère personnel)

La directive 95/46/CE transposée dans la loi nationale modifiée du 2 août 2002 donne à toute personne concernée un droit d’accès aux données, permettant d’obtenir la rectification, l’effacement et le verrouillage des données, ainsi qu’un droit d’opposition (voir les articles 12 et 14). Le client doit vérifier que le fournisseur d’informatique en nuage ne dresse pas d’obstacles techniques ou organisationnels à la mise en œuvre de ces exigences, y compris lorsque les données sont traitées ultérieurement par des sous-traitants.

Le contrat entre le client et le fournisseur devrait stipuler que le fournisseur d’informatique en nuage est tenu d’aider le client pour faciliter l’exercice des droits reconnus aux personnes concernées et de veiller à ce qu’il en soit de même dans sa relation avec un quelconque sous-traitant.

Portabilité

Actuellement, la plupart des fournisseurs d’informatique en nuage n’utilisent pas de formats de données ni d’interfaces de service standardisés facilitant l’interopérabilité et la portabilité entre différents fournisseurs d’informatique en nuage. Si un client décide de migrer d’un fournisseur d’informatique en nuage à un autre, le manque d’interopérabilité peut rendre impossible, ou pour le moins difficile, le transfert de ses données (on parle alors de dépendance vis-à-vis du fournisseur).

Il en va de même des services que le client a développés sur une plateforme offerte par le premier fournisseur d’informatique en nuage (PaaS).

Le client devrait vérifier si, et de quelle manière, le fournisseur garantit la portabilité des données et des services avant de souscrire à un service en nuage.

Responsabilité

En informatique, la responsabilité peut se définir comme la capacité de déterminer ce qu’une entité a fait à un certain moment du passé et de quelle façon. Dans le domaine de la protection des données à caractère personnel, elle a généralement une signification plus large et désigne la capacité des parties à démontrer qu’elles ont pris toutes les mesures appropriées pour garantir le respect des principes de protection des données.

La responsabilité informatique est particulièrement importante pour enquêter sur les violations de données, lorsque les clients, les fournisseurs et les sous-traitants ultérieurs peuvent tous assumer une part de responsabilité opérationnelle. La capacité d’une plateforme en nuage à offrir des mécanismes fiables de contrôle et de journalisation complète est à cet égard, essentielle.

Les fournisseurs d’informatique en nuage doivent pouvoir fournir la preuve documentaire qu’ils ont pris des mesures appropriées et efficaces pour que les principes de protection des données décrits dans les sections précédentes produisent leurs effets. Parmi elles, on compte les procédures visant à garantir l’identification de l’ensemble des opérations de traitement des données et à répondre aux demandes d’accès, l’affectation des ressources, comprenant la désignation de délégués à la protection des données chargés d’organiser le contrôle du respect des règles en matière de protection des données, ou encore les procédures de certification indépendante.

Les responsables du traitement des données doivent en outre, être prêts à démontrer à l’autorité de contrôle compétente, à sa demande, qu’ils ont bien mis en place les mesures nécessaires.

Les transferts internationaux

En principe, les données à caractère personnel ne doivent être transférées que vers des pays ayant un niveau adéquat de protection des données.

Les articles 25 et 26 de la directive 95/46/CE transposée dans la loi nationale modifiée du 2 août 2002 subordonnent strictement la libre circulation des données à caractère personnel vers des pays situés en dehors de l’EEE, à la condition que ces pays, ou bien le destinataire, assurent un niveau de protection adéquat des données. Les pays offrant un tel niveau de protection sont ceux de l'Espace économique européen (soit les 28 pays membres de l'Union européenne, l'Islande, le Liechtenstein et la Norvège) ainsi que des pays tiers ayant été reconnus comme présentant un niveau adéquat de protection des données, c'est-à-dire présentant des garanties pour la protection des données similaires à celles précisées dans la directive européenne 95/46/CE et des législations nationales en matière de protection des données.

En dehors de ces cas, depuis le Luxembourg, le transfert des données ne peut se faire que sur autorisation préalable de la Commission nationale pour la protection des données. En outre, des garanties particulières doivent être mises en place par le responsable du traitement et ses coresponsables et/ou sous-traitants. Or l’informatique en nuage se caractérise souvent par une absence de localisation stable des données. Les données peuvent se trouver dans un centre à midi et à l’autre bout du monde à 14 heures. Le client est donc rarement en mesure de savoir en temps réel où se trouvent ses données et où son fournisseur les transfère et les stocke. Dans ce contexte, les instruments juridiques traditionnels permettant de réglementer les transferts de données vers des pays tiers qui n’assurent pas un niveau de protection adéquat montrent leurs limites.

Garanties contractuelles

En règle générale, le contrat avec le fournisseur (et ceux établis entre le fournisseur et les sous-traitants) devrait offrir des garanties en termes de mesures de sécurité techniques et organisationnelles, être consigné par écrit ou sous une forme équivalente et préciser :

  • les instructions du client au fournisseur, y compris l’objet et le calendrier du service, les niveaux de service objectifs et mesurables et les sanctions prévues (financières ou autres) ;
  • les mesures de sûreté à respecter en fonction des risques que présente le traitement et de la nature des données, conformément aux exigences ci-après et sous réserve de mesures plus strictes envisagées par le droit national dont relève le client ;
  • si le fournisseur d’informatique envisage de recourir à des clauses contractuelles types, le client doit s’assurer que ces clauses sont conformes aux exigences en matière de protection des données et qu’elles précisent les mesures techniques et organisationnelles utilisées.

Liste (non exhaustive) de garanties contractuelles à prendre en compte lors d’une souscription à un service d’informatique en nuage :

  • Accès aux données. Seules les personnes autorisées devraient avoir accès aux données ; le contrat devrait prévoir une clause de confidentialité de la part du fournisseur et de ses employés.
  • Communication des données à des tiers. Celle-ci devrait être exclusivement réglementée par contrat, lequel devrait inclure l’obligation pour le fournisseur de donner à son client le nom de tous ses sous-traitants – par exemple sur un registre public numérique – et de lui garantir l’accès aux informations en cas de modifications, de manière à lui donner la possibilité de les contester ou de résilier le contrat. Le contrat devrait par ailleurs imposer au fournisseur de notifier toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité répressive, sauf disposition contraire ; le client doit en effet s’assurer que le fournisseur rejettera toute demande non contraignante de divulgation des données.
  • Obligation de coopérer. Le client devrait faire en sorte que le fournisseur soit tenu de coopérer avec lui dans l’exercice de son droit de contrôle des opérations de traitement, d’exercice par les personnes concernées de leurs droits d’accès/de correction/d’effacement des données, et (le cas échéant) de l’informer de toute violation de données affectant ses données.
  • Transferts internationaux de données. Le client de services en nuage est tenu de vérifier si le fournisseur peut garantir la légalité des transferts internationaux de données et les limiter aux pays choisis par le client, dans la mesure du possible. Les transferts de données vers des pays tiers qui n’assurent pas un niveau adéquat de protection exigent des garanties particulières, telles le recours à l’accord sur la « sphère de sécurité », aux clauses contractuelles types ou aux règles d’entreprise contraignantes, selon le cas ; le recours aux clauses contractuelles types pour les sous-traitants nécessite d’apporter certaines adaptations à l’environnement en nuage (pour éviter les contrats distincts par client entre un fournisseur et ses sous-traitants ultérieurs), qui pourraient impliquer la nécessité d’obtenir l’autorisation préalable de l’autorité chargée de la protection des données compétente ; une liste des lieux dans lesquels le service peut être fourni devrait figurer au contrat.
  • Journalisation et audit du traitement. Le client devrait demander la journalisation des opérations de traitement exécutées par le fournisseur et ses sous-traitants ; il devrait être habilité à réaliser l’audit de ces opérations, bien que les audits et la certification réalisés par des tiers choisis par client puissent également être acceptés, sous réserve de la garantie d’une transparence totale (par exemple en prévoyant la possibilité d'obtenir un exemplaire du certificat d'audit du tiers ou du rapport d'audit attestant du contrôle).

 

Dernière mise à jour