Sécurité des données: Risques liés au passage dans le cloud
Basile Walder
Basile Walder est avocat dans l'étude VISCHER à Genève et est principalement actif en qualité de conseil en droit commercial, avec une attention particulière sur le droit du travail, l’entrepreneuriat, le droit des sociétés et les questions relatives aux contrats informatiques et aux nouvelles technologies.
Aides de travail appropriées
Exemple de risques liés aux données stockées sur un cloud
Prenons l'exemple d'un sportif amateur collectant des données sur ses entrainements au moyen d'un registre numérique stocké et accessible sur une application, complétée par une solution web. De nombreuses offres permettent effectivement un suivi des activités sportives, que ce soit pour de la course à pied, du vélo de course, de la natation, etc., souvent pour un rapport qualité-prix attractif.
Imaginons maintenant que l'entreprise étant à l'origine de cette offre commerciale est rachetée par un groupe international. Suite à ce rachat, une modification de la stratégie commerciale est décidée unilatéralement par le fournisseur de la solution informatique, en se concentrant uniquement sur un sport et sur une application mobile, plutôt que de développer une plateforme multisport. En conséquence, la maintenance des modules relatifs aux autres sports est supprimée et la solution web est mise hors service, le tout dans des délais très court. Cela signifie essentiellement qu'une grande partie des données collectées n'est plus disponible ni accessible, à moins d'avoir pu les exporter dans un fichier .CSV (Comma-Separated Values), mais encore faudrait-il pouvoir réutiliser ces données dans une nouvelle application.
Cet exemple démontre que les utilisateurs de solutions cloud peuvent être très dépendants des fournisseurs de ces plateformes. La valeur des données concernées reste limitée dans ce cas, mais que se passe-t-il si un scénario similaire se produit avec des données d'entreprise essentielles à la survie de la société?
Déterminer la valeur des données de son entreprise
Dans le scénario le plus catastrophique, l'utilisation du cloud peut entrainer subitement une perte d'accès totale aux données de l'entreprise. Les conséquences d'une telle perte peuvent être extrêmement importantes: opportunités de vente, données contractuelles, commandes et factures en cours, tickets d'assistance, prestations fournies, etc. Au mieux, ces données pourront être exportées dans un fichier au format .CSV, mais encore faut-il disposer d'un logiciel pour pouvoir les lire dans ce format.
Sur cette base, on constate rapidement qu'il n'est pas nécessaire de traiter les données de tiers en lien avec ses activités ou d'être actif dans ce domaine pour être à risque en cas d'utilisation d'une solution cloud. Dans ce cadre, il est important de pouvoir déterminer ce que les fournisseurs de solutions cloud comptent faire des données d'entreprise qui leur seront confiées. C'est une question importante qui est malheureusement souvent négligée. Pour l'entreprise, ces données représentent une valeur importante qui ne doit pas être sous-estimée.
Combien de temps peut survivre mon entreprise sans ses données?
En cas de perte d'accès, même une exportation des données peut être difficilement utilisable par la suite. Afin de se rendre compte des difficultés dans ce cadre, il est recommandé d'effectuer une exportation test des données au format .CSV (ce qui est généralement possible pour la plupart des plateformes cloud et le fichier peut ensuite être ouvert dans l'application Excel). Il suffit de quelques milliers d'entrées réparties dans différents tableaux pour se rendre compte que le traitement de ces données risque d'être compliqué et fastidieux, surtout que la logique appliquée par le programme de la solution cloud n'est plus disponible. Même une petite entreprise peut donc se retrouver rapidement en difficulté.
On peut alors envisager de réimporter ces données dans un nouveau logiciel. Mais il existe dans ce cas un risque que certaines données utiles ou nécessaires soient perdues. Un changement de prestataire entrainera aussi des délais importants: évaluation de la nouvelle solution, analyse des données par le fournisseur, potentielle écriture d'un script de migration, vérification de la migration, etc. Ces étapes peuvent prendre beaucoup de temps selon la quantité de données concernées. Il est également important de s'assurer que les données ont été migrées correctement. En effet, il se pourrait que certaines modifications des données apparaissent lors de la migration, par exemple en intervertissant les données de certains types de clients ou dans le cas où des rabais ne seraient plus correctement attribués. Les délais requis dans ce cadre peuvent donc être assez long avant de pouvoir recommencer les activités de l'entreprise plus ou moins comme d'habitude et satisfaire les demandes de clients.
Recommandations de séminaires
Dans le cas d'une banque, en cas de perte d'accès total aux données, la durée de survie de l'entreprise est certainement de quelques jours, voire quelques heures. En revanche, les systèmes informatiques de ce type d'entreprise sont généralement très bien étalonnés et supervisés, ce qui rend la probabilité d'une panne totale bien plus faible. Ce risque est nettement plus élevé pour la plupart des PME, ce qui amène à devoir se poser des questions en cas de réalisation de ce risque, telle que le niveau de liquidités requis pour faire face à une interruption du processus de facturation ou la probabilité qu'il ne soit plus possible d'accéder à certaines données essentielles de l'entreprise?
Conseil: appliquer un processus de gestion des risques
En cas de passage à une solution cloud, il est fortement recommandé de suivre un processus classique de gestion des risques:
- Identifier les risques
- Évaluer les risques
- Définir des mesures et les mettre en œuvre
Les solutions cloud comportent certains risques, notamment en matière de protection et de sécurité des données. En ce qui concerne la sécurité des données, qui a essentiellement pour objectif de protéger techniquement la perte, la modification de données ou d'autres menaces, il faut également prendre en compte le risque de défaillance commerciale du fournisseur de la solution.
Lors de l'évaluation des risques, il faut tout d'abord déterminer la probabilité d'occurrence du risque, puis la gravité des conséquences si le risque se matérialise. Même si la probabilité est très faible, certains risques dont les conséquences pourraient être graves pour l'entreprise nécessitent une attention particulière.
Les mesures doivent, autant que possible, permettre de réduire la probabilité d'occurrence du risque concerné, ce qui n'est souvent envisageable que de manière limitée. Par exemple, des exportations régulières, automatiques, idéalement structurées à un niveau élevé (sous forme de base de données) et un plan organisationnel sur la manière de procéder en cas de pertes d'accès des données, sont des mesures utiles pour réduire la probabilité et les effets d'une perte d'accès aux données de l'entreprise.
La gestion des risques: instrument incontournable en cas de passage dans le cloud
Il est important de souligner que le but de cet article n'est pas de décourager les entreprises qui souhaiteraient adopter une solution cloud pour leurs activités, puisque celles-ci offrent de très nombreux avantages et ont tendance à s'imposer sur le long terme. Son objectif est plutôt de rappeler qu’une gestion saine et appropriée des risques liés à ces solutions permets de réduire leur occurrence et leurs effets. Dans ce cadre, se poser les bonnes questions est primordial, y compris celle de savoir ce qui se passerait si le fournisseur de solution cloud devait déposer le bilan ou si, pour d'autres raisons, la solution devait subir une panne prolongée. Prévoir et mettre en œuvre un plan pour de telles situations peut être décisif pour la survie d'une entreprise, quelle que soit sa taille. Il faut en particulier prendre en compte que la gestion des risques et la gestion stratégique des questions informatiques ne peuvent pas être (totalement) externalisées, et que de nombreux risques peuvent être limités, mais ne peuvent pas être complètement exclus.
