Un défi, les violations de données dans le Cloud

Publié le 07/04/2011 07:34 | Mis à jour le 19/07/2019 16:04 | 3 min de lecture

Quand un client envoie ses données sensibles dans le Cloud il s’appuie entièrement sur la sécurité et les procédures de réponse aux incidents que son fournisseur de Cloud a mis en place pour réagir en cas de violations de données. Cette situation soulève de nombreuses questions fondamentales.

Les "intérêts" de quelle partie seront considérés comme prioritaires ? Depuis l’entrée en scène du Cloud, si un fournisseur de Cloud est victime d’une violation de données qui expose les données de ses clients, ses intérêts ne seront pas forcément (voire rarement) les mêmes que ceux de ses clients. Dans la mesure où le fournisseur de service peut voir sa responsabilité engagée, sa gestion d’une violation de sécurité pourra favoriser ses propres intérêts.

Les clients du Cloud n’auront pas forcément le contrôle ou l’accès aux systèmes dont ils bénéficieraient normalement pour enquêter, recueillir des preuves et remédier à une violation de données. Pour se protéger, les fournisseurs de service peuvent être encouragés à retenir certaines informations de leur client. De plus, comme de nombreux Clouds desservent plusieurs clients sur les mêmes ordinateurs ou réseaux, les fournisseurs peuvent donner un traitement de faveur à certains clients. À la suite d’une violation de sécurité, un gros client lucratif pourrait donc être mieux traité que d’autres clients de moindre envergure.

Planification de la réponse aux incidents dans les Cloud. Au moment d’adopter le Cloud, les clients devraient étudier les procédures de réponse aux incidents de leurs fournisseurs pour savoir comment les violations de données seront traitées. Ils devraient se poser les questions suivantes :

Qu’est-ce qui constitue une violation de données ?
Quelles méthodes et technologies en place permettent d’empêcher et de détecter les violations de sécurité ?
Comment le fournisseur de Cloud enquêtera-t-il sur les violations ?
Suivant quels critères les violations plus graves sont-elles passées à un niveau hiérarchique supérieur afin d’être gérées à l’aune du risque qu’elles soulèvent ?

Les activités de réponse aux incidents d’un fournisseur de service devraient s’intégrer avec les principaux points de contact de son client afin que le client reçoive les informations dont il a besoin pour lancer ses propres procédures de réponse aux incidents. Problème du fournisseur multi-Cloud Dans un contexte de Cloud il arrive souvent que le fournisseur de Cloud auprès duquel une entité a passé contrat (le « fournisseur direct ») ne soit pas le fournisseur de Cloud qui effectue réellement le traitement, le stockage et la transmission des données du client (« le fournisseur tiers »). Dans ces configurations, le fournisseur tiers qui est victime d’une violation n’a pas toujours de relation contractuelle avec le client de Cloud, et le client de Cloud n’a quant à lui pas forcément de droits en cas de violation de données. De fait, il peut être difficile ne serait-ce que d’enquêter sur les capacités de réponse aux incidents des fournisseurs en aval. Du reste, même si le fournisseur direct a fait certaines promesses contractuelles liées à la réponse aux violations de sécurité, s’il n’a pas lui-même obtenu des droits correspondants de son fournisseur tiers, il risque de ne pas être en mesure d’honorer ces promesses.

Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing David Navetta, Esq., CIPP Partner, InfoLawGroup LLP