Le cloud computing ou informatique en nuage se définit comme un « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire » [1] . Le cloud présente de nombreux enjeux qu’ils soient de sécurité et d’ordre juridique. À ce titre, on citera, sans prétendre à l’exhaustivité, la disponibilité des données, la confidentialité, la sécurité et la traçabilité, la continuité d’activité, la conformité légale, la protection des données personnelles et la propriété intellectuelle. L’anticipation des risques de sécurité se traduit souvent par des précautions juridiques dans le contrat de cloud, souvent difficiles à négocier, comme l’insertion d’une clause pénale et une autre de réversibilité. Les dimensions sécurité, organisation et juridique sont étroitement imbriquées.
Le recours aux services cloud qu’ils soient en mode IAAS (infrastructure as a service), PAAS (plate-forme as a service) ou SAAS (software as a service) est désormais intégré dans la stratégie numérique de l’immense majorité des entreprises. La question est plutôt d’évaluer la part du SI confié aux opérateurs du cloud : 50 % du patrimoine, 80 % voire 100 % pour les plus audacieux ! Le cloud a longtemps été synonyme d’agilité, de souplesse, d’indépendance, d’économies et de simplification technologique. Dix ans après les premières grandes migrations, les « early adopters » commencent à déchanter car certains de ces avantages se sont transformés en inconvénients et il est parfois compliqué de faire machine arrière. Détaillons ci-après les différents risques qu’il faut appréhender lors de l’utilisation des services cloud (I. et II.) ainsi que quelques éléments de solution pour y faire face (III.).
I. Risques de sécurité liés au cloud
De manière synthétique, on peut aborder les risques liés à l’usage du cloud selon 7 points :
1. Localisation des données
Le client reste juridiquement responsable de ses données et de leur utilisation, notamment pour tout ce qui concerne leur conformité aux obligations juridiques. La répartition des données sur des sites physiques de stockage différents peut conduire à un éclatement des données et une répartition dans différents pays. Un manque de maîtrise de cette répartition géographique est susceptible de provoquer le non-respect de contraintes réglementaires liées à la localisation des données sur le territoire de certains états. De plus, les lois américaines (Patriot Act, Cloud Act…) sont par essence extraterritoriales. La loi s’appliquera quelle que soit la localisation des données [2] .
2. Sécurisation des données
Lors d’usage massif du cloud comme pour la messagerie et la bureautique, l’entreprise n’a pas toujours conscience de ce que les utilisateurs vont in fine exposer dans des clouds publics. Le niveau de sécurisation souvent minimal dont on pouvait se contenter lorsque ces données ne sortaient pas de l’entreprise va s’avérer insuffisant voire inadapté à une exposition sur le Web. Le niveau de sécurité proposé par le fournisseur n’est pas toujours à la hauteur des besoins de ses clients les plus exigeants et un projet cloud s’accompagne souvent de l’acquisition d’outils de sécurité complémentaires.
3. Maintien de la conformité
Le contexte protéiforme du cloud génère de nombreuses questions liées aux aspects réglementaires et juridiques, et notamment : 1) la réalisation de contrôles et d’audits des modes opératoires et des procédures, 2) le respect des exigences réglementaires métiers. De plus, lorsque des investissements initiaux ont été réalisés, lorsque des certifications ont été acquises ou des seuils de conformité atteints avant le passage sur le cloud, toute dérive doit être détectée et une remise en conformité doit être recherchée. L’impossibilité d’effectuer des contrôles, voire des audits formels (ou leur non-réalisation) risque alors de devenir problématique.
4. Cloisonnement des différents clients
La mutualisation des moyens est l’une des caractéristiques fondamentales du cloud. Mais les risques afférents sont nombreux, souvent liés aux mécanismes de séparation. L’étanchéité entre différents environnements utilisateurs ou clients est une condition sine qua non afin de garantir, a minima, la confidentialité des traitements. L’isolation des données sous leurs différentes formes (stockage, mémoire, transmission et routage…) est réalisée au moyen de différents services de sécurité ou techniques de sécurisation, telles que le contrôle d’accès et le chiffrement. La monopolisation de ressources matérielles par un environnement utilisateur ou client ne doit pas être possible au détriment de la disponibilité ou, à moindre échelle, de la diminution des performances des environnements voisins.
5. Réversibilité et dépendance technologique
Il est hasardeux de s’engager dans une solution cloud sans savoir, a priori, comment on peut la quitter et comment on peut avoir l’assurance que les données, après récupération, seront bien effacées chez le premier prestataire. Le niveau de portabilité actuel de nombreuses offres SaaS est encore peu probant : il y a peu de garanties sur les outils, les procédures, les formats de données et les interfaces de services. En cas de réversibilité ou de migration vers un autre fournisseur de services cloud, les opérations peuvent être rendues très complexes, longues et coûteuses. En cas d’impossibilité de réversibilité, le risque est élevé de se trouver captif de la solution.
6. Usurpation d’identité
Il peut s’agir d’attaques liées au vol de l’identité d’utilisateurs de services suite à des déficiences dans les mécanismes d’authentification et/ou des attaques de type phishing/hameçonnage [3] . De faux clients pourraient alors utiliser de façon indue des ressources, voire accéder aux données des clients légitimes. Dans tous les cas, la faiblesse de l’identification et de l’authentification laisse la porte ouverte à ces attaques.
7. Risques dits « des administrateurs »
Les architectures de type cloud sont gérées et exploitées par des personnes disposant de privilèges élevés ce qui accroît d’autant le risque d’accès non autorisé aux données clients. Des dommages peuvent être causés par ces spécialistes techniques. Les dommages causés par des administrateurs système du cloud – même s’ils sont rares – s’avèrent plus dévastateurs que dans un environnement informatique classique. Des procédures et des moyens sont nécessaires tant pour les phases de prévention et de détection, que pour les phases de protection et de réaction.
Autres risques
D’autres risques peuvent aussi être envisagés comme la perte de maîtrise du SI, la dépendance à l’Internet, la perte de données en cas d’incident fournisseur, la non-exhaustivité dans la fourniture des logs…
Après quelques années de recul, on peut dire que la vraie vie se situe encore trop souvent entre renoncement et prise de risque. À titre d’illustration :
– la réversibilité est illusoire pour les grandes offres (Office 365, Gmail, Salesforce…). En effet, lorsque des pétaoctets de données bureautiques ont été externalisés, en général on se débarrasse très vite des serveurs de la solution « on premises » ainsi que des gens qui s’en occupaient. Impossible avec des offres d’espaces quasi illimités de réinternaliser les données une fois que les utilisateurs se sont habitués à des boîtes aux lettres de taille illimitée. Impossible non plus de changer de fournisseur tant la concurrence est rare pour certaines offres (bureautiques en particulier) ;
– les audits et autres tests d’intrusions sont inenvisageables chez les grands acteurs, ce qui revient à leur faire confiance a priori. Il faudra se contenter dans le meilleur des cas de résultats de tests d’intrusion commandité par le prestataire du service cloud qui, forcément, seront bons ;
– le niveau de sécurité proposé par les grands fournisseurs de SaaS n’est pas toujours au niveau souhaité des plus exigeants, le ROI (retour sur investissement) du projet peut être alors entamé par les budgets supplémentaires pour financer des solutions tierces. Sans parler d’une architecture sécurité qui se complexifie au fil des projets d’externalisation. À cela, il faut souligner qu’en matière de sécurité informatique, rien n’est définitivement acquis. Le niveau de sécurité de l’offre n’est pas toujours stable dans le temps et doit être régulièrement vérifié ;
– l’hybridation, où une partie du SI est externalisée et la part la plus sensible reste interne, est le plus souvent une illusion de sécurité pour certains usages comme la messagerie. Quand une messagerie « on premises » est conservée en interne pour les usages les plus sensibles, non seulement cela représente un coût qu’il est difficile de supporter au fil des ans, mais il faut reconnaître que cela ne sert pas à grand-chose, car pour que ce soit efficace, il faudrait que la partie interne et celle externalisée ne communiquent jamais entre elles ;
– en termes de disponibilité, il n’y a pas la plupart du temps de plan B quand le service n’est plus disponible dans le cloud et force est de constater que les grandes pannes des acteurs importants du cloud se multiplient et ce sont parfois des régions entières qui sont « en panne » avec des dizaines de milliers d’utilisateurs non opérationnels pour des durées indéterminées ;
– en matière de coûts, les grandes entreprises ayant souscrit des services cloud depuis plusieurs années ont été amenées à renouveler leurs contrats et souvent l’opération a été douloureuse. La non-réversibilité ou plus simplement le phénomène d’enfermement dans une solution se produit plus souvent que l’on croit et des augmentations de coûts prohibitifs sont constatées ;
– entre les outils souvent complexes dont le fonctionnement est mal compris par utilisateurs et le recours à des solutions plus simples, gratuites mais non sécurisées (le Shadow IT ou l’ensemble des services « non approuvés ») [4] , la divulgation des données est devenue une calamité pour les entreprises.
II. Encadrement des risques juridiques
Outre les risques de sécurité liés à l’utilisation du cloud computing par les établissements du secteur bancaires, se pose également la question des risques juridiques des solutions d’externalisation. En effet, l’absence de visibilité précise quant à la localisation des données et à leur captation est considérée comme un risque majeur, notamment au regard de l’application de certaines règles extraterritoriales (1.), mais également s’agissant de la conformité aux exigences légales et réglementaires en matière protection des données personnelles (2.) ou encore en matière de propriété intellectuelle (3.).
1. Règles extraterritoriales
La localisation des données apparaît comme un risque juridique important pour tous les établissements bancaires, et plus largement pour toute entreprise qui déciderait d’externaliser des traitements sur des données de son système d’information via l’informatique en nuage, puisque l’emplacement des données pourra déterminer le droit applicable au patrimoine informationnel de l’entreprise, étant rappelé que les données hébergées sur un cloud computing peuvent – a priori - être transférées dans un pays ou un autre, voire dans plusieurs pays, en fonction des choix techniques du prestataire [5] .
De manière générale, il existe un véritable flou autour de la localisation que ce soit au regard (i) du pays dans lequel le fournisseur des services de cloud computing est implanté, (ii) de la localisation de l’infrastructure utilisée, ou même (iii) du lieu dans lequel les données vont être physiquement hébergées. Suivant ce constat, les données hébergées dans un cloud computing pourront ainsi faire l’objet de demandes de communication diverses par des autorités administratives et judiciaires étrangères, émanant hypothétiquement de plusieurs pays différents. Or, cet accès potentiel aux données hébergées dans un cloud computing par des États ne respectant pas les mêmes exigences légales – notamment en recourant à des prestataires situés en dehors de l’espace économique européen - auquel l’établissement client est soumis (contrôle effectif par l’autorité de surveillance, secret bancaire, protection des données personnelles, sécurité, voire même propriété intellectuelle) pose difficulté [6] .
Dès lors, si un établissement, quel qu’il soit, est amené à stocker certaines données couvertes par une obligation légale de confidentialité (ex. : secret bancaire, données personnelles) dans une solution de cloud computing, quel que soit le pays d’hébergement, celui-ci doit s’assurer par des moyens techniques, organisationnels et contractuels, que cette confidentialité sera protégée conformément au droit qui lui est applicable.
À cet égard, l’Autorité bancaire européenne (ABE) a émis des recommandations fin 2017 sur le recours à des fournisseurs de services de cloud computing. L’ABE rappelle ainsi que les établissements doivent prendre des précautions particulières lorsqu’ils concluent et gèrent des accords d’externalisation convenus en dehors de l’Espace économique européen, en raison des risques potentiels pour la protection des données et pour le contrôle effectif par l’autorité de surveillance. À cet effet, elle recommande que les établissements procèdent à une évaluation des risques qui tienne compte de considérations relatives « à la stabilité politique et sécuritaire plus large des juridictions en cause, aux lois en vigueur au sein de ces juridictions (y compris la législation relative à la protection des données), et aux dispositions sur l’application des lois en vigueur dans ces juridictions, y compris les dispositions relatives à l’insolvabilité qui s’appliqueraient en cas d’erreur de la part du fournisseur de services en nuage » [7] .
Il convient en outre de préciser que le Cloud Act (Clarifying Lawful Overseas Use of Data Act) [8] adopté le 23 mars 2018 a marqué un tournant très fort dans les règles d’extraterritorialité [9] . Cette loi est venue réformer le Stored Communications Act de 1986 qui imposait des demandes d’entraides judiciaires internationales chronophages suivant des traités bilatéraux, aux fins d’établir de nouvelles règles pour simplifier voire « clarifier » l’échange de données électroniques entre les autorités américaines et étrangères dans le cadre de procédures judiciaires [10] . Dès lors, toute société de droit américain [11] , sur simple réquisition judiciaire, doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information.
Accusé d’ouvrir la porte à un accès indiscriminé aux données au profit des services de renseignement américains, ce texte a suscité une vive inquiétude des utilisateurs du cloud en Europe notamment au regard des règles relatives à la protection des données personnelles [12] . En effet, en l’absence d’un accord bilatéral entre les États-Unis et l’Union européenne, un conflit de lois semble exister entre le Cloud Act et le RGPD, mais également avec des dispositions législatives françaises telles que la loi de blocage et celle relative à la protection du secret des affaires [13] .
Ce risque accru d’extraterritorialité concernant les données hébergées sur un cloud devrait accélérer le projet d’un cloud souverain européen. En effet, le 4 juin 2020, le ministre de l’Économie, Bruno Le Maire et son homologue allemand, Peter Altmaier ont officialisé le lancement du cloud européen, dénommé Gaia-X. Ainsi, face à l’absence de solution sécurisante pour les données respectant le socle réglementaire européen, ce projet commun à la France et à l’Allemagne vise à affirmer la souveraineté numérique européenne et sécuriser les problématiques juridiques liés à l’extraterritorialité des solutions de cloud computing [14] .
2. Protection des données personnelles
Les services de cloud computing impliquent des opérations d’hébergement et de transferts de données, lesquels sont susceptibles d’entrer dans le champ d’application de la réglementation relative à la protection des données à caractère personnel. En effet, les données hébergées dans un cloud computing peuvent potentiellement contenir des données afférentes aux ressources humaines ainsi qu’à la clientèle de l’établissement bancaire, donc contenir des informations confidentielles, voire même sensibles, et couvertes par le secret bancaire (gestion de la relation client, messagerie, archivage…) [15] .
Or, rappelons que les établissements bancaires situés sur le territoire européen sont soumis au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) [16] , lequel implique diverses obligations relatives au stockage des données (durée de conservation, sécurité des données, transfert de données…). Ils sont en outre susceptibles de collecter des informations spécifiques et sensibles qu’ils doivent traiter avec une importance particulière.
Les risques liés à ce type d’hébergement externalisé relèvent principalement de l’absence de contrôle sur les données et de l’insuffisance des renseignements relatifs aux opérations de transformation proprement dites (absence de transparence).
En effet, le groupe de travail « article 29 » sur la protection des données dans son avis 05/2012 sur l’informatique en nuage [17] relève qu’en confiant leurs données à caractère personnel à des systèmes gérés par des fournisseurs de cloud computing, « les clients pourraient perdre le contrôle exclusif de ces données et être privés de la capacité de déployer les mesures techniques et organisationnelles nécessaires pour garantir la disponibilité, l’intégrité, la confidentialité, la transparence, la séparation et la portabilité des données, ainsi que la possibilité d’intervention ». L’une des principales conclusions tirées dans cet avis est que les entreprises et les administrations qui souhaitent recourir à une solution de cloud computing devraient, dans un premier temps, procéder à une analyse de risques rigoureuse et exhaustive [18] . Il ne faudra sans doute pas omettre de réaliser une analyse d’impact sur la vie privée (AIVP) pour certains traitements spécifiques.
À cet égard, la Commission nationale de l’informatique et des libertés (CNIL) s’est saisie de ces difficultés liées à l’hébergement de données personnelles via un cloud computing dès 2012 [19] en recommandant aux sociétés désirant souscrire à ces services externalisés [20] :
– d’identifier clairement les données et les traitements qui passeront dans le cloud ;
– de définir ses propres exigences de sécurité technique et juridique ;
– de conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ;
– d’identifier le type de cloud pertinent pour le traitement envisagé ;
– de choisir un prestataire présentant des garanties suffisantes ;
– de revoir la politique de sécurité interne ;
– de surveiller les évolutions dans le temps.
Dans un contexte d’adoption d’une solution de cloud computing, il apparaît en outre que la qualification des parties intervenantes (responsable de traitement, sous-traitant et/ou cotraitant) pose difficulté dans la mesure où des responsabilités différentes en découlent. En effet de nombreux prestataires techniques proposent un service standardisé (type contrat d’adhésion) dont les caractéristiques touchent parfois aux éléments relevant principalement et classiquement de l’appréciation du responsable de traitement [21] . Or, la responsabilité première en matière de données personnelles (sécurité, confidentialité, etc.) pèse sur le responsable du traitement et non sur le sous-traitant qui supporte des obligations ainsi qu’une responsabilité « réduite » par rapport au précédent, car il ne fait qu’agir sur les instructions de ce dernier.
En tout état de cause, le recours au cloud computing pour stocker des données personnelles implique d’(i) établir un contrat exhaustif et conforme à la réglementation applicable (lequel établira avec précision la qualification et les obligations des parties prenantes), de (ii) veiller à la sécurité des données, (iii) à la durée de conservation des données (et par conséquent à la destruction des documents contenant des données personnelles), (iv) encadrer les éventuels transferts de celles-ci vers des pays tiers.
Il convient à cet égard de relever que par un arrêt du 16 juillet 2020 dit « Schrems II » [22] , la Cour de Justice de l’Union Européenne a annulé la décision d’adéquation qui permettait à toute société américaine « auto-certifiée » aux standards RGPD d’exporter sans autre formalité des données à caractère personnel outre-Atlantique. Les transferts de données personnelles vers les entreprises américaines relevant du Privacy Shield (GOOGLE, AWS, MICROSOFT…, fort nombreuses et souvent incontournables) sont désormais interdits [23] .
3. Propriété intellectuelle
La question de la propriété intellectuelle constitue également un risque juridique à prendre en compte avant de contractualiser une solution ou un service de cloud computing. En effet, la propriété intellectuelle des créations de l’entreprise, voire même de tiers, intégrée dans les données hébergées dans un cloud computing, représente une difficulté supplémentaire. Les créations concernées peuvent être de natures diverses, notamment des œuvres logicielles, protégées par les droits d’auteur, des éléments par le droit des bases de données, des marques, des brevets, par la protection des secrets ou du savoir-faire [24] , voire même de façon hypothétique toute œuvre de l’esprit protégée par le droit d’auteur, voire encore certains droits voisins.
En matière de propriété intellectuelle appartenant à l’établissement, l’adoption d’une Solution de cloud computing peut représenter une perte de contrôle des données et présente un risque potentiel s’agissant de la diffusion d’informations protégées, non seulement au regard des utilisateurs potentiels des services au sein de l’entreprise, mais également en fonction des dispositions contractuellement prévues avec le prestataire technique. Il conviendra en conséquence d’encadrer la confidentialité nécessaire à ces données d’un point de vue contractuel, mais éventuellement d’un point de vue technique en prévoyant un mécanisme de chiffrement sur lequel le Client doit garder un contrôle exclusif.
Il convient également de tenir compte des licences et conditions d’utilisation des logiciels et outils informatiques qui seront intégrés dans le système d’information externalisé. Il est de l’intérêt des deux cocontractants de s’assurer, préalablement à la conclusion du contrat, que l’utilisation des services de cloud computing ne portera pas atteinte aux droits de propriété intellectuelle et ne constituera pas un motif de retrait des licences de propriété intellectuelle qui leur auront été accordées par des tiers, et prévoir, le cas échéant, la sous-licence nécessaire. Le coût d’une atteinte à la propriété intellectuelle peut être très élevé pour l’entreprise [25] .
À cet égard, s’agissant plus spécifiquement des œuvres de tiers protégées par le droit d’auteur (textes, images, vidéos…), le Conseil supérieur de la propriété littéraire et artistique (CSPLA) a adopté un avis en date du 23 octobre 2012 dans lequel il considère que le droit d’auteur est concerné dès lors que les services de cloud offrent au public diverses possibilités d’usage (distribution, stockage, consultation), pour tous les genres d’œuvres et objets protégés [26] . Le CSPLA opère ensuite une distinction en fonction d’une typologie de services en cloud pouvant être différenciés, selon que l’utilisateur dispose lui-même des fichiers à conserver ou qu’il enregistre ceux-ci à partir d’un catalogue qui lui est proposé par un éditeur. Peut donc hypothétiquement se poser la question de la reproduction de l’œuvre de l’esprit dans un service de cloud computing et par conséquent celle de l’assimilation ou non de la reproduction ainsi effectuée à l’exception de copie privée [27] .
En toutes hypothèses, il conviendra d’effectuer une analyse préalable du type de données protégées par un droit de propriété intellectuelle susceptibles de pouvoir être intégrées dans le cloud computing, afin d’être en mesure d’encadrer au mieux les risques afférents à ces droits.
III. Éléments de solution
Au regard des différents risques, tant techniques, que juridiques, l’encadrement contractuel des services de cloud computing apparaît impératif (1.), mais l’analyse de risque et autres évaluations sont également indispensables (2.).
1. Contrat cloud
Au sein de son Guide pour maîtriser les risques de l’infogérance, l’ANSSI rappelait dès 2010 que les risques en matière de sécurité des systèmes d’information peuvent être liés au contexte de l’opération d’externalisation mais aussi et surtout à des spécifications contractuelles déficientes ou incomplètes [28] . La conclusion (et notamment la négociation) d’un contrat de cloud computing est d’autant plus importante que la plupart des GAFAM imposent de facto, des contrats complexes qui relèvent dans la grande majorité de contrats d’adhésion [29] . Cependant, on peut constater que la jurisprudence afférente aux contrats de cloud est très peu nourrie [30] .
La première étape pour tout établissement bancaire qui désirait externaliser son système d’information avec une solution de cloud computing consiste, en toutes hypothèses, à réaliser une évaluation précontractuelle des risques précités aux fins notamment d’examiner le respect ou non du principe de proportionnalité en tenant compte de la complexité des fonctions externalisées, des risques découlant du dispositif d’externalisation, du caractère critique ou de l’importance des données et de la fonction externalisée, ainsi que de l’incidence potentielle de l’externalisation sur la poursuite de leurs activités. Cette analyse devra notamment s’attarder sur la localisation des données.
S’agissant plus spécifiquement des établissements bancaires, l’article 13 des Orientations de l’EBA sur l’externalisation [31] établit la liste des exigences devant figurer dans l’accord d’externalisation, à savoir notamment des éléments relatifs (i) à la sous-externalisation de fonctions critiques ou importantes, (ii) à la sécurité des données et systèmes, (iii) aux droits d’accès, d’information et d’audit, et (iv) aux droits de résiliation. L’établissement bancaire doit en tout état de cause pouvoir exercer le contrôle des fonctions externalisées.
Plus largement, un contrat de cloud computing doit prévoir un accord sur le niveau de service (Service level agreement – SLA) qui permet de définir les attentes de l’entreprise cliente en matière de paramètres de performance (quantitatifs et qualitatifs) à l’aide desquels la fourniture des services de cloud computing est assurée et la portée des obligations contractuelles. Il convient à cet égard de prévoir des engagements quantitatifs s’agissant de la capacité donnée de stockage de données ou de la quantité de mémoire disponible pour le programme en cours. Des engagements précis du prestataire technique doivent être prévus en matière de disponibilité et de continuité d’activité (durée maximale d’interruption, temps de latence, perte de données maximale admissibles, services d’assistance) tout comme des plans de gestion des incidents et des sinistres et plans de reprise d’activité [32] . Il apparaît en outre opportun que l’entreprise cliente mette en place un pilotage contractuel continu, en s’appuyant sur des clauses de pénalité à actionner lors d’insuffisances dans le service rendu par le prestataire [33] .
Les conditions de réversibilité doivent également être envisagées lors de la conclusion du contrat. Les questions du format des données restituées et de leur destruction doivent être couvertes dans le contrat liant les parties. Cette capacité à se désengager du prestataire entraîne également des contraintes du côté de l’organisme client. Celui-ci doit en effet s’assurer de sa capacité à reprendre l’activité externalisée ou à la transmettre à un autre prestataire avec une réactivité suffisante (gestion de la connaissance fonctionnelle, applicative et technique, capacité à positionner des ressources et à les faire monter en compétence, budget à engager, etc.).
Enfin, l’encadrement contractuel doit également permettre d’obtenir la visibilité sur l’organisation du prestataire, notamment en termes de sous-traitance éventuelle, d’assurer le respect des obligations relatives aux traitements des données à caractère personnel (contrat de sous-traitance ou éventuellement contrats de sous-traitance ultérieure, confidentialité, restriction des transferts de données) et encadrer les aspects de propriété intellectuelle (propriété des données sur le cloud, sous-licence éventuelle…).
2. Analyse de risque et évaluation des process
Une analyse de risque globale du projet est incontournable en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l’utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.
Il convient d’estimer la valeur des données que l’on compte externaliser ainsi que leur attractivité en termes de cybercriminalité. S’il s’agit de données sensibles, il est indispensable d’avoir l’aval de la Direction générale sur le principe de leur externalisation.
Le niveau de protection de ces données en place avant externalisation doit être évalué et adapté en fonction de l’évaluation des nouveaux risques. Les nouvelles exigences de sécurité devront figurer dans le cahier des charges de l’appel d’offres.
Chaque fois que ce sera possible, il faut exiger un droit d’audit (effectif sur certains points ?) ou de test d’intrusion de la solution proposée. Faire un audit ou un test d’intrusion avant le démarrage du service est une chose, s’assurer du maintien du niveau de sécurité de l’offre dans le temps en est une autre.
Pour lutter contre l’usurpation d’identité, le renforcement de l’authentification n’est désormais plus une option. Des solutions comme le MFA (Multi-Factor Authentication) sont aujourd’hui en déploiement dans de nombreuses entreprises.
Avec le déploiement des outils collaboratifs, nous avons rendu les utilisateurs plus indépendants mais on leur a mis entre les mains de formidables machines à faire fuir l’information. En plus de correctement former les utilisateurs au bon usage de ces puissants outils, il faut se doter d’outils permettant de donner de la visibilité sur les partages qu’ils effectuent à longueur de journée.
En ce qui concerne le Shadow IT, des outils de type CASB (Cloud Access Security Broker) doivent être considérés pour repérer les usages les plus dangereux pour la protection du patrimoine informationnel afin de réorienter les utilisateurs vers des outils plus sécurisés.
À tout cela, il faut aussi considérer des outils de protection des données sensibles (chiffrement). Le recours à des solutions souveraines pour stocker les informations les plus sensibles doit aussi être envisagé.
La sécurité de l’information appliquée aux usages numériques reste une histoire sans fin…
[1]. Vocabulaire de l’informatique et de l’internet, JO du 6 juin 2010. La note précise : « L’informatique en nuage est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »
[2]. V. infra II./.
[3]. V. le Glossaire de l’ANSSI : www.ssi.gouv.fr : « Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…) dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici “d’infiltration”). Une fois sa première victime compromise, l’attaquant cherchera à obtenir des droits “d’administrateur” (on parle alors “d’escalade de privilèges”) pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée “propagation latérale”. Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici “d’exfiltration”) soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse. Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante. »
[4]. CESIN, « Sécurité : la sécurité du cloud en question » : https://www.cesin.fr/article-securite-la-securite-du-cloud-en-question.html.
[5]. Sabine Marcellin, « Cloud computing – Quels risques juridiques pour les banques ? », Banque & Droit n° 137, 2011, pp. 8-14.
[6]. ACPR-Banque de France, « Les risques associés au cloud computing », Analyse et Synthèses n° 16, juillet 2013, p. 8. ; EBA, Recommandations sur l’externalisation en nuage, 28 mars 2018, p. 11.
[7]. EBA, Recommandations sur l’externalisation en nuage, EBA/REC/2017/03.
[8]. Pour aller plus loin sur le sujet, v. spécialement : Marie Abadie et Emmanuel Jouffin, « Le cocktail détonnant du Cloud Act. Extraterritorialité, sécurité nationale et libertés individuelles », Banque & Droit n° 182, nov.-déc. 2018, p. 4 et s. ; Blandine Eggrickx et Emmanuel Jouffin, « Cloud Act : nouvelle manifestation de l’extraterritorialité des textes US et réponse européenne », Hors-Série Banque & Droit, mars 2019, p. 19 et s.
[9]. Eric Le Quellenec, « L’émergence d’un cloud souverain européen », RLDI, n° 173-2020, pp. 37-39.
[10]. Olivier de Maison Rouge, « Cloud Act et collecte des preuves numériques à l’étranger : la souveraineté judiciaire en balance », AJ Pénal, 2019, p. 591 ; Régis Bismuth, « Every Cloud Has a Silver Lining – Une analyse contextualisée de l’extraterritorialité du Cloud Act », JCP E, 2018, 1497.
[11]. En ce inclus, toute filiale étrangère d’une société de droit américain et toute sociétés établies en dehors des Etats-Unis qui ont une filiale aux États-Unis.
[12]. Eric A. Caprioli, « Cloud Act et souveraineté numérique », Usine Digitale, initialement publié le 28 février 2019 : https://www.usine-digitale.fr/article/cloud-act-et-souverainete-numerique.N812430 ; Luc-Marie Augagneur, « Héberger ses données chez les GAFAM : quel discours croire sur le Cloud Act ? », RLDI 2019, n° 162, pp. 52-54.
[13]. Catherine Feunteun, Dane Rimsevica, « Cloud Act et cloud computing : une menace pour les données ? », RDBF, 2020, dossier 27.
[14]. Eric Le Quellenec, « L’émergence d’un cloud souverain européen », RLDI n° 173, août-septembre 2020 ; Alain Bouillé, « Vous avez dit souveraineté ? », Parole d’expert, Cyber Cercle, document publié le 19 juin 2020.
[15]. Stéphane Darget, « La sécurité du cloud en question », CESIN : https://www.cesin.fr/article-securite-la-securite-du-cloud-en-question.html.
[16]. En droit interne, les entreprises sont soumises à la loi n° 78-17 du 6 janvier 1978, dite Loi Informatique et Libertés (LIL), modifiée par La loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018.
[17]. Groupe de travail « article 29 » sur la protection des données, avis 05/2012 sur l’informatique en nuage, adopté le 1er juillet 2012.
[18]. Romain Perray, « L’externalisation des données des FinTechs : les risques du Cloud », RDBF, 2017, dossier 9.
[19]. Avant l’adoption du RGPD.
[20]. CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing.
[21]. Marion Moine, « Cloud computing – Cloud et protection des données à caractère personnel », Fascicule Juris-Classeur Communication, 1er mai 2020.
[22]. Aff. C-311/18.
[23]. Emmanuel Jouffin, « Invalidation du Privacy Shield – What else ? », Banque et Droit n° 193, 2020, p. 37 ; Kevin Magnier-Merran, « Circulation des données bancaires – Le banquier entre partage obligé et transfert sous contrôle », RDBF, 2020, dossier 30.
[24]. Sabine Marcellin, « Cloud computing – Quels risques juridiques pour les banques ? », Banque & Droit n° 137, 2011, pp. 8-14.
[25]. CNUDCI, Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international), 2019.
[26]. Rapport de la commission spécialisée « Informatique dans les nuages », Conseil supérieur de la propriété littéraire et artistique, 23 octobre 2012.
[27]. Philippe Mouron, « Les services d’enregistrement numérique, entre le droit de communication au public et l’exception de copie privée », RLDI n° 148-2018, pp. 9-13.
[28]. ANSSI, « Maîtriser les risques de l’infogérance – Externalisation des systèmes d’information », décembre 2010 : http://www.ssi.gouv.fr/externalisation.
[29]. Éric Le Quellenec, Laurence Huin, Arthur Benchetrit & Daniel Korabelnikov, « Cloud computing et droit, retour sur une année de grands changements », RLDI n° 138-2017, pp. 47-55.
[30]. Le tribunal de commerce de Paris (affaire Risc Group it solutions c/ Poweo) a validé la clause d’indemnisation figurant dans un contrat de cloud : « La totalité des abonnements concernant la période restant à courir jusqu’à l’échéance finale du contrat [devient] immédiatement due et exigible à titre d’indemnité. »
[31]. EBA, Orientations relatives à l’externalisation, EBA/GL/2019/02, 25 février 2019.
[32]. CNUDCI, Aide-mémoire sur les principales questions liées aux contrats d’informatique en nuage (établi par le secrétariat de la Commission des Nations Unies pour le droit commercial international, 2019), 2019, disponible : www.uncitral.org.
[33]. ACPR-Banque de France, « Les risques associés au cloud computing », Analyse et Synthèses n° 16, juillet 2013, p. 8.
