Enquêtes judiciaires et investigations informatiques dans le Cloud
L'un des défis importants dans la procédure de réponses aux incidents dans le Cloud est de savoir si un client pourra réaliser une enquête judiciaire quand son fournisseur de service a été victime d’une violation de données. Si une violation interne a lieu chez un client, il ne serait pas inhabituel que celui-ci fasse appel à un cabinet d’enquêtes judiciaires (ou qu’il utilise ses ressources internes) pour enquêter sur cette violation de données.
Objectifs d'une enquête judiciaire Les objectifs d’une enquête judiciaire peuvent varier, mais ils consistent souvent à analyser la source d’une violation, à éliminer ses facteurs, à comprendre quelles données peuvent avoir été impliquées et à évaluer dans quelle mesure l’organisation a été exposée aux risques. Il s’agira également de chercher, recueillir et conserver des données potentiellement pertinentes vis-à-vis des objectifs de l’investigation informatique ou des preuves informatiques dans le cadre d’une action en justice. Une expertise judiciaire peut s’avérer nécessaire, par exemple, pour qu’une société confirme (ou limite) ses obligations de notification de violation si des informations personnelles ont été exposées. En cas de violation de numéros de cartes bancaires, un client peut être tenu d’autoriser un expert qualifié en réponse aux incidents (sélectionné par VISA ou Mastercard) à réaliser une expertise judiciaire des systèmes visés par la violation. Ne pas le faire pourrait entraîner de lourdes amendes et pénalités ainsi que la perte du droit d’accepter les paiements par cartes bancaires. Par ailleurs, ne pas préserver et obtenir pour des fins judiciaires des données susceptibles d’être pertinentes à une action en justice (par un « litigation hold » - conservation documentaire à usage judiciaire) pourrait nuire aux arguments dont une société aurait besoin pour se défendre face à un tribunal. Participation du fournisseur à l'enquête : enjeux et limites Les expertises judiciaires exigent normalement que les enquêteurs aient un accès physique sur site aux ordinateurs victimes de ces violations, et les mesures judiciaires prises pour acquérir et obtenir les données peuvent stopper ou perturber les systèmes. Dans ce contexte, un fournisseur de Cloud peut donc interdire à ses clients d’accéder (physiquement ou à distance) à ses serveurs ou de réaliser un examen judiciaire d’une autre manière sur ses systèmes lorsqu’une violation de données a eu lieu. Il est possible que le fournisseur veuille limiter la faculté de ses clients à enquêter sur une violation de données afin de protéger ses intérêts propres et limiter sa responsabilité potentielle. La position de certains fournisseurs de Cloud est que, du fait que leurs serveurs sont partagés par de multiples entités, une acquisition judiciaire de données à partir de ces serveurs exposerait les informations confidentielles des autres clients du fournisseur (et pourrait constituer une infraction à des clauses juridiques de confidentialité). En outre, l’éventualité que plusieurs clients exigent le droit de réaliser simultanément leur propre enquête judiciaire à la suite d’une violation est une raison de plus pour bloquer les enquêtes judiciaires. Enfin, les problèmes de conflit d’intérêt et les problèmes d’accès pour enquêtes judiciaires peuvent être exacerbés dans une configuration multi-Cloud (avec un fournisseur tiers). S’il est difficile d’obtenir un accès à un fournisseur direct avec un contrat, ceci peut se révéler virtuellement impossible quand un client n’a pas le moindre droit contractuel vis-à-vis d'un fournisseur tiers. Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing David Navetta, Esq., CIPP Partner, InfoLawGroup LLP