Le Cloud Computing et ses contraintes réglementaires
 |
Le cloud computing (informatique en nuage) est un concept consistant à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou poste utilisateur. |
Figure 1 : informatique en nuage
De cette définition ressortent 3 types de services :
- Software as a Service (SaaS) : mise à disposition de logiciel/application hébergée chez un fournisseur/partenaire.
- Platform as a Service (PaaS) : location de services et de plateformes sur lequel le client utilise les outils mis à sa disposition.
- Infrastructure as a Service (IaaS) : mise à disposition d'une infrastructure informatique (serveurs, réseaux, stockage...) adaptable selon les besoins du client.
 Figure 2 : types de services |
Ces Services sont distribués selon 4 niveaux de partage :
- Cloud privé (Private Cloud) : nuage interne à une entreprise/organisation
- Cloud privée externalisé (Community Cloud) : niveau intermédiaire entre le cloud privé et le public. C'est une externalisation des ressources informatiques avec un accès privé aux infrastructures par des connexions sécurisées.
- Cloud public (Public Cloud) : les infrastructures informatiques appartiennent au prestataire et sont partagées entre plusieurs entreprises et accessibles par le web.
- Cloud Hybride (Hybrid Cloud) : mélange de 2 ou plusieurs clouds qui doivent partager les applications et les données entre eux.
Le cloud computing entraine une perte dans la maitrise de son infrastructure et surtout des données stockées. La responsabilité des données appartient aux clients même si cette externalisation est contractualisée.
3 contraintes
Sécurité d'accès (physiques et logiques) aux données : Celles-ci sont stockées sur l'infrastructure du fournisseur, qui peut y avoir accès notamment lors d'intervention de maintenance. Il y a un risque d'une part sur la confidentialité, disponibilité et intégrité des données et d'autre part sur la traçabilité (malveillance, erreur...) de celles-ci. Il est nécessaire de s'assurer que celles-ci sont correctement isolées notamment pour les clouds hybrides et publics.
Géo-localisation des données : Difficulté de savoir dans quel pays se trouvent les données car le cloud n'a pas de frontières (notamment pour une disponibilité optimale, des sites distincts géographiquement éloignés avec redondance des équipements). Il faudra prendre en considération la réglementation des pays où elles se trouveront et surtout la réglementation en rapport aux données personnelles.
Protection et récupération des données : En cas de renonciation au cloud ou de changement de prestataires. Avant de s'engager avec un prestataire, il faut s'assurer que celui-ci lors de la résiliation de contrats détruise les données sur son infrastructure après la migration de celles-ci vers une autre solution.
Il est bien évident que selon la taille du fournisseur choisi par rapport à celle de son entreprise, la négociation contractuelle peut s'avérer plus difficile.
Il est important également de bien s'assurer que toutes les contraintes énumérées ci-dessus, sont bien identifiées dans les clauses et/ou annexes de ce contrat et que tous les changements dans les conditions générales des contrats soient clairement identifiées et soumis à accord préalable de votre part.
Contraintes réglementaires
Les 3 principales contraintes du cloud computing énoncées ci-dessus sont justement des points soulignés dans la réglementation pharmaceutique (confidentialité, intégrité des données).
C'est notamment le cas de l'accès aux données stockées dans le Cloud par le fournisseur. Pour pallier cela, il est nécessaire :
- de mettre en place une clause de confidentialité entre client/fournisseur,
- que chaque intervenant ait sa propre combinaison Login/password afin de tracer les interventions réalisées,
- de s'assurer qu'une demande de changement soit faite pour chaque modification sur les règles de sécurité.
Pour garantir l'intégrité des données, le fournisseur du cloud doit être capable de sauvegarder et de procéder à la restauration des données quand nécessaire. Celui-ci doit donc définir avec son client ses besoins de sauvegarde/restauration et mettre en place la procédure.
S'ajoute à cela d'autres aspects réglementaires. En effet, chaque pays dispose de sa propre réglementation sur les données stockées physiquement sur son territoire. C'est le cas notamment des Etats-Unis avec le Patriot Act, où, entre autre chose, les autorités peuvent accéder aux données stockées par les entreprises sur leur territoire ou si cette entreprise est américaine, ils peuvent y accéder quel que soit le pays dans lequel la filiale se trouve. Il faut de ce fait vérifier les clauses de confidentialité et exceptions à celles-ci par rapport aux autorités du pays où se trouve le siège de la maison mère du fournisseur.
Coté européen, les données peuvent transiter entre pays de l'union européenne tout en préservant les droits fondamentaux des personnes.
Des standards et des certifications sont en cours de développement afin de répondre aux besoins des clients de Cloud Computing. L'« Enterprise Cloud Leadership Council » et le « Cloud Security Alliance » tend à la mise en place de standards. Par ailleurs, l'Union Européenne réfléchit à une réglementation propre au Cloud Computing.
La mise en place d'un Cloud dans un contexte pharmaceutique n'est pas chose facile. Il est donc important de bien sélectionner son fournisseur par une qualification de celui-ci et de s'assurer que toutes les contraintes réglementaires soient respectées.
Bibliographie:
- The NIST (National Institute Of Standards and Technology) definition of Cloud Computing, publication 800-145 (draft)
- Le livre blanc sécurité du cloud computing, Analyses de risques, réponses et bonnes pratiques, SYNTEC numérique
- Le Cloud et la Sécurité, Le Clusif
- Directive Européenne 95/46/EC
- US Patriot Act.
|
|
Selmin Kuzu - SPIE Oil and Gas Services Ingénieur Validation de Systèmes Informatisés |
 |
Serge Librot - LivIT Senior Consultant IT infrastructure services ITIL Expert and Outsourcing Professional Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. |
