De plus en plus d’entreprises, d’autorités et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur l’informatique en nuage (cloud computing). Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.
Ce mode de traitement des données implique grosso modo que les logiciels, la mémoire ou les capacités de calcul soient utilisées en réseau selon les besoins, par ex. sur Internet ou au sein d'un réseau privé virtuel. En d'autres termes, ces capacités sont louées: l'environnement informatique (centre de calculs, espaces de stockage, logiciels de messagerie et de collaboration, environnements de développement et logiciels spéciaux tels que la gestion des relations avec la clientèle) n'est plus la propriété de l'entreprise ou de l'autorité et n'est plus géré par celles-ci, mais est loué à un ou plusieurs prestataires de services.
L'organisation et le le type d'offres proposées dans ce type d'architecture peuvent prendre plusieurs formes.
Organisation
On distingue les nuages privés, publics, hybrides et communautaires.
Dans un nuage public, l'infrastructure est entièrement définie et gérée par le prestataire: l'utilisateur du nuage n'a pas droit au chapitre et ne peut par exemple exercer aucune influence sur la localisation des serveurs. Dans un nuage privé, en revanche, c'est l'entreprise elle-même ou un tiers qui exploite le nuage et celui-ci est toujours adapté aux besoins de l'entreprise. Cette deuxième solution est beaucoup plus sûre que la première, mais elle est aussi plus chère. Si une entreprise utilise conjointement un nuage public et un nuage privé, on parle de nuage hybride. Enfin, un nuage communautaire permet à plusieurs organisations d'utiliser la même infrastructure.
Types d'offres
Les offres portent sur l'infrastructure, sur la plateforme et sur les logiciels.
Les offres dites d'«infrastructure en tant que service» concernent l'hébergement: le prestataire met à la disposition des utilisateurs un serveur en nuage pour enregistrer des données ou des applications. Dans ce type d'offres, le prestataire est seul responsable du fonctionnement du réseau, de l'accès et du matériel, notamment. Les offres dites de «plateforme en tant que service» concernent le traitement des données: le prestataire développe une application et la met à la disposition des utilisateurs dans un nuage; l'utilisateur gère alors seul les données au moyen de cette application. Enfin, dans les offres dites de «logiciel en tant que service», l'utilisateur n'est qu'un consommateur dans le nuage: il ne gère rien lui-même, ni les applications ni les données, et a seulement accès aux fonctionnalités définies par le prestataire pour traiter les données dans le nuage.
Les raisons principales de l'utilisation des systèmes d'informatique en nuage sont la réduction des coûts d'infrastructure informatique et de logiciels, la mise à jour des logiciels sur demande, une plus grande capacité de calcul, un espace de stockage des données dynamique (la mémoire louée dans le nuage augmente ou se réduit en fonction des données qui y sont enregistrées), la mobilité, la simplicité et la rapidité de l'accès aux données, l'extensibilité du système et, dans certains cas, l'amélioration de la sécurité.
Les risques de l'informatique en nuage
La délocalisation de données est toujours risquée. À cet égard, l'informatique en nuage pose entre autres les problèmes énumérés ci-dessous.
- Perte de contrôle sur les données. L'interconnexion mondiale et l'utilisation de la mémoire virtuelle font qu'il est souvent impossible de localiser les données, notamment lorsqu'on a recours à des nuages publics. Le maître des données ne sait donc pas où les données qu'il a déposées dans le nuage sont enregistrées et traitées alors qu'il répond de leur utilisation. Il ignore souvent si des sous-traitants interviennent et s'ils veillent à une protection adéquate des données. L'utilisateur d'un nuage ne peut donc pas assumer ses obligations en matière de protection des données (garantir la sécurité des données, accorder un droit d'accès, corriger ou effacer des données) ou uniquement en partie.
- Manque de séparation et d'isolation des données. L'informatique en nuage implique que les données de plusieurs utilisateurs qui n'ont aucun lien entre eux soient traitées dans le même nuage et par le même système (architecture partagée). Cela augmente le risque qu'une attaque contre un des utilisateurs affecte également les autres. À la suite d'une attaque de hackers ou de déni de service, les données peuvent être indisponibles voire volées. Il est donc extrêmement important que le traitement des données des différents utilisateurs du nuage soit strictement séparé et qu'il n'y ait pas de mélange des données.
- Non-respect des dispositions légales. Dans l'informatique en nuage, il peut arriver que certaines parties d'un ensemble de données soient enregistrées dans plusieurs centres situés dans le monde entier. Cette dissémination peut poser des problèmes non seulement du point de vue de la protection et de la sécurité des données, mais aussi pour le respect d'autres obligations légales (conservation des données et des preuves, sauvegarde du secret, etc.). Les entreprises et les autorités qui ont recours à de tels services n'ont souvent pas pleinement conscience qu'elles répondent principalement du respect des règles en matière de protection des données, et non le prestataire qui enregistre les données dans un serveur en nuage ou qui les traite dans le nuage.
- Accès d'autorités étrangères aux données. Dans de nombreux cas, les données destinées à être traitées dans le nuage sont communiquées à l'étranger. Elles sont alors souvent enregistrées ou traitées dans des pays qui ne leur assurent pas une protection suffisante. Les prestataires de services en nuage peuvent se voir ordonner par des autorités ou des tribunaux étrangers de donner accès aux données enregistrées dans le nuage, même si ces données ne sont pas traitées ou enregistrées dans le pays en question.
- Captivité. Les utilisateurs peuvent devenir dépendants du prestataire en raison de la faible portabilité et de la faible interopérabilité des services en nuage. En effet, si le prestataire n'a pas recours à une technologie et à une interface standardisées, le rapatriement des données dans le système informatique de l'utilisateur ou leur migration dans le nuage d'un autre prestataire peut être impossible ou extrêmement coûteux.
Les risques ci-dessous se posent toujours, que les données soient traitées dans un nuage ou non.
- Perte de données. Les données en nuage peuvent être volées, effacées, écrasées par erreur ou subir d'autres modifications entraînant leur perte. L'entreprise qui recourt à un service sans système de sauvegarde des données originales court donc d'énormes risques juridiques, qui peuvent menacer son existence lorsque la perte des données porte sur son savoir-faire technique, d'autres secrets d'entreprise (liste de clients, bases de calcul des prix de revient) ou la comptabilité. Afin d'éviter des pertes de données, il est impératif que des systèmes de sécurité correspondants soient implémentés. De telles données ne devraient être délocalisées dans le nuage qu'avec retenue.
- Pannes de système et de réseau et non-disponibilité des ressources et des services. Des pannes dans le nuage peuvent entraîner des pertes de données ou impliquer l'accès de personnes non autorisées aux données (la confidentialité, la sécurité et l'intégrité des données ne sont alors plus garanties). Ces pannes peuvent en outre paralyser le fonctionnement d'une entreprise ou d'une autorité: un tel scénario entraînerait non seulement des pertes financières, mais aussi de graves conséquences pour la réputation de l'organisation concernée.
- Usage abusif des données. Tous les prestataires de services n'indiquent pas comment les droits d'accès (physiques et virtuels) des employés sont réglés et surveillés. Souvent, les utilisateurs ne peuvent pas non plus consulter les clauses de confidentialité. Les nuages publics posent particulièrement problème à cet égard.
L'utilisation de services en nuage du point de vue de la protection des données
- Du point de vue du droit de la protection des données, le traitement de données personnelles découlant de l'utilisation de l'informatique en nuage relève normalement du traitement de données par un tiers au sens de l'art. 10a LPD. Aux termes de cet article, le traitement de données personnelles peut être confié à un tiers (en l'occurrence, le prestataire de services) pour autant qu'une convention ou que la loi le prévoie et que les conditions suivantes sont remplies: seules les traitements que le mandant (en l'occurrence, l'utilisateur du service) serait en droit d'effectuer lui-même sont effectués et aucune obligation légale ou contractuelle de garder le secret ne l'interdit. Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données. Le prestataire de services doit donc être contraint de se conformer entièrement aux dispositions sur la protection des données applicables en Suisse, de même que tout sous-traitant. Le respect de cette règle pose cependant des difficultés pratiques étant donné que les rapports de sous-traitance ne sont souvent pas transparents pour l'utilisateur du service.
- L'utilisateur du service doit s'assurer que le prestataire (le tiers) garantit la sécurité des données au sens de l'art. 7 LPD et des art. 8 ss et 20 ss OLPD. Ces dispositions prévoient que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées et qu'il faut assurer la confidentialité, la disponibilité et l'intégrité des données. Le prestataire doit protéger les données contre les risques suivants: destruction accidentelle ou non autorisée; perte accidentelle; erreurs techniques; falsification, vol ou utilisation illicite; modification, copie, accès ou autre traitement non autorisés. Ces mesures doivent faire l'objet d'un réexamen périodique sur place. La mise en oeuvre concrète des mesures de protection des données dépend de l'entreprise ou de l'autorité, du type de données, de l'organisation du nuage et de son découpage (nuage privé ou public, offre portant sur l'infrastructure, la plateforme ou les logiciels). De manière générale, plus les données sont confidentielles, secrètes, importantes (secrets d'entreprise) ou sensibles (particulièrement dignes de protection), plus leur délocalisation dans un nuage, en particulier à l'étranger, est déconseillée et plus les mesures de sécurité et de contrôle doivent être strictes et complètes.
L'utilisation de services en nuage implique dans de nombreux cas de communiquer des données à l'étranger, puisque leur traitement a souvent lieu sur des serveurs disséminés dans le monde entier (sans compter que les prestataires de services ont fréquemment recours à des sous-traitants). Les pays concernés connaissent très souvent un niveau de protection des données inférieur à celui de la Suisse: les données qui y sont transmises risquent donc de subir des traitements qui ne seraient pas autorisés en Suisse. C'est pourquoi aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence de législation assurant un niveau de protection adéquat (art. 6, al. 1, LPD), sauf si l'une des conditions visées à l'art. 6, al. 2, LPD est remplie. Dans de nombreux cas, l'utilisateur devra passer un contrat avec le prestataire (en impliquant aussi les sous-traitants) pour prévoir des garanties en matière de protection des données. Tous les participants sur l'ordinateur desquels des données personnelles sont traitées doivent être soumis au contrat, ce qui pose certes des difficultés. Il faut toutefois considérer qu'il revient en tout état de cause à celui qui transmet des données à l'étranger de prouver qu'il a pris toutes les mesures nécessaires pour garantir un niveau de protection adéquat.
Enfin, l'utilisateur répond du droit d'accès (art. 8 LPD) et du droit d'effacer ou de rectifier les données (art. 5 LPD). Ces droits doivent être garantis en tout temps et leur mise en oeuvre doit respecter les prescriptions en matière de protection des données, ce qui peut poser de grandes difficultés: comme dit plus haut, l'utilisation d'applications en nuage implique souvent une perte de contrôle sur les données et l'utilisateur ne sait pas ou plus où les données sont traitées. Cependant, cela ne le libère pas de ses obligations légales.
Conclusion
Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire (en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique), lui donner des instructions précises et le surveiller attentivement. En fin de compte, l'utilisateur du service reste responsable du respect des prescriptions en matière de protection des données, puisqu'il mandate un prestataire, et il répond des infractions en la matière auprès des personnes concernées. Il lui faut donc bien choisir les applications et les données qui peuvent être délocalisées dans un nuage et celles qui doivent rester sur ses propres serveurs. Par ailleurs, en choisissant le type de nuage entrant en considération (nuage privé, nuage public propre à l'entreprise ou nuage hybride), il faut procéder suffisamment tôt à une analyse approfondie des exigences en matière de protection des données, en veillant tout particulièrement au traitement des données personnelles (de leur enregistrement à leur effacement en passant par leur traitement ultérieur), afin que la configuration respecte dès le départ ces exigences. Si à la suite de l'analyse des risques, il existe des doutes sur la manière dont les données personnelles sont traitées dans le nuage, il ne faut pas les délocaliser.
Pour aller plus loin
- ANSSI Agence nationale de la sécurité des systèmes d'information, «Maîtriser les risques de l'infogérance», décembre 2010: www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf
- BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., «Cloud Computing - Evolution in der Technik, Revolution im Business - BITKOM-Leitfaden», octobre 2009: www.bitkom.org/de/themen/36129_61111.aspx
- BSI Bundesamt für die Sicherheit in der Informationstechnik, «Sicherheitsempfehlungen für Cloud Computing Anbieter - Mindestsicherheitsanforderungen in der Informationssicherheit», mai 2011: https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html
- CSA Cloud Security Alliance, «Security Guidance for Critical Areas of Focus in Cloud Computing V2.1», décembre 2009: https://cloudsecurityalliance.org/csaguide.pdf
- ENISA European Network and Information Security Agency, «Benefits, risks and recommendations for information security», novembre 2009: www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
- ENISA European Network and Information Security Agency, «Security & Resilience in Governmental Clouds», janvier 2011: www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds
- Fraunhofer Institut, «Cloud-Computing für die öffentliche Verwaltung - ISPRAT-Studie», novembre 2010:
http://www.cloud.fraunhofer.de/de/publikationen/isprat_cloud.html