Gros plan sur la sécurité du cloud : stratégies, architectures et modèles de contrats pour protéger les données sensibles des entreprises dans un monde numérisé

Les données sont un outil de l'économie numérique moderne, voire le nouvel or des entreprises (secteur privé), mais aussi de l'État (secteur public). Dans le monde numérique d'aujourd'hui, il y a une quantité incalculable de nouveaux ensembles de données qui finissent en masse sur Internet. Certains de ces ensembles de données concernent des données personnelles qui reflètent une identité numérique. Tout l’art, dans une entreprise, consiste à filtrer soigneusement ces données et, surtout, à les stocker. Ce petit travail vise à présenter les données dans un cloud ainsi que leur traitement d’un point de vue entrepreneurial. De plus, ce petit travail montre quels types de contrats, d’architectures et de mesures de sécurité appropriées contre les cyberattaques l’industrie met en place pour disposer d’une base solide pour son propre traitement des données.

Avant d'aborder le thème de la sécurité du cloud, il convient tout d'abord de découvrir quelques données clés du « cloud computing », son fonctionnement et la structure d'un cloud : « Le cloud computing est un modèle de traitement des données qui permet d’accéder à tout moment et en tout lieu, via un réseau, à un pool partagé de ressources informatiques configurables (par exemple, réseaux, serveurs, systèmes de stockage, applications et services). Celles-ci peuvent être mises à disposition rapidement et avec un minimum d’efforts administratifs ou une faible interaction avec le fournisseur de services. Le cloud peut être utilisé sous trois formes : Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS). Le type de cloud varie en fonction du mode de déploiement (cloud privé, cloud communautaire, cloud public, cloud hybride).» [1]

Dans le domaine du cloud computing, il existe différents types de déploiement, selon lesquels les fournisseurs de cloud mettent leurs services à la disposition de leurs utilisateurs. On distingue quatre modèles principaux associés au cloud computing :

1. Cloud public

Le cloud public permet à tous les utilisateurs d’accéder à des ressources informatiques telles que du matériel (système d’exploitation, CPU, mémoire) ou des logiciels (serveur d’applications, base de données) sur la base d’un abonnement ou d’un paiement à l’utilisation. Les cas d'utilisation concrets comprennent le développement et le test d'applications pour des tâches critiques et non critiques, comme le partage de fichiers et les services de messagerie électronique.

2. Cloud privé

Le cloud privé est généralement utilisé exclusivement par une seule organisation et peut être géré en interne ou par un prestataire informatique externe. Bien que les clouds privés soient souvent plus coûteux que les clouds publics en raison des investissements en acquisition et en maintenance, ils répondent plus efficacement aux préoccupations des organisations en matière de sécurité et de protection des données.

3. Cloud hybride (forme mixte combinant un centre de données physique ou un cloud privé externe et/ou un cloud public)

Le cloud hybride utilise à la fois des infrastructures de cloud privé et de cloud public. Les entreprises choisissent ce modèle pour étendre rapidement leur infrastructure informatique en cas de besoin. Ainsi, un commerçant en ligne peut, par exemple, utiliser des ressources de cloud public pendant la période des fêtes pour compléter ou soulager les capacités de son cloud privé.

4. Cloud communautaire

Le cloud communautaire prend en charge plusieurs organisations qui partagent des ressources informatiques. Il s’agit par exemple d’universités collaborant dans des domaines de recherche spécifiques , ou d’acteurs publics tels que les services de police d’un même district qui partagent des ressources. L’accès à un cloud communautaire est réservé aux membres de la communauté.

Les coûts pour l'utilisateur final sont généralement faibles avec les clouds publics, sans nécessiter d'investissements importants. Les clouds privés, en revanche, exigent certes des investissements, mais permettent généralement de réaliser des économies par rapport aux coûts d'exploitation d'une infrastructure propre . Les clouds privés garantissent également unmeilleur niveau desécurité et de conformité que les clouds publics. C’est pourquoi certaines organisations utilisent des clouds privés pour les données et applications critiques ou sensibles, et des clouds publics pour des tâches de base comme le développement d’applications, les environnements de test et les services de messagerie. [2]

Une solution de cloud hybride est idéale pour réduire ou diversifier les risques liés à une cyberattaque. Elle offre un meilleur contrôle sur ta propre sécurité par rapport à l’utilisation exclusive d’un cloud public. De plus, une infrastructure cloud hybride permet de mettre en place des normes de sécurité personnalisées et de configurerdes logiciels sur mesuresur des serveurs privés. Cette répartition améliore la fiabilité des systèmes et permet de mieux évaluer les problèmes techniques.

De plus, le rapport coût-efficacité est meilleur que lors de l’achat et de la maintenance de serveurs sur site. [3]

Modèles d'architecture des services cloud

Compte tenu de ces avantages d’une solution de cloud hybride, qui vont d’un contrôle de sécurité accru à une fiabilité améliorée, il est important de comprendre les différentes architectures de services cloud. Ces architectures, à savoir Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS), offrent différents niveaux de prestation de services et définissent des responsabilités variées en matière de conformité.

1. Infrastructure as a Service (IaaS)

Les fournisseurs IaaS fournissentl’infrastructure de base en matière de calcul, de stockage et de réseau, ainsi que l’hyperviseur pour la virtualisation. Les utilisateurs sont responsables de la création et de la gestion des instances virtuelles, de l’installation des systèmes d’exploitation, de la mise à disposition des applications et des données, ainsi que de l’ensemble de la configuration. L'IaaS est intéressant aussi bien pour les petites entreprises que pour les PME. La simplicité d'utilisation d'une infrastructure cloud non gérée en propre constitue une alternative économique à l'achat de matériel informatique.

Exemples : DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

Les fournisseurs PaaS étendent la pile d'applications davantage que l'IaaS en ajoutant des systèmes d'exploitation et des intergiciels (par exemple, des bases de données). Les utilisateurs se concentrent davantage sur le développement d'applications. La plateforme gère l'infrastructure sous-jacente.

Exemples : AWS Elastic Beanstalk, Google App Engine.

3. Software as a Service (SaaS)

Les fournisseurs SaaS proposent une pile d'applications complète. Les utilisateurs peuvent accéder à l'application entièrement hébergée via un navigateur web. La gestion des charges de travail et des ressources informatiques est entièrement sous le contrôle du fournisseur SaaS, tandis que les utilisateurs ont explicitement le contrôle des données générées par l'application.

Exemples : Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Le cloud en droit des contrats

Les contrats SaaS n’ont pas encore fait l’objet d’un traitement juridique explicite de la part du législateur. À ce jour, un contrat SaaS ne peut être classé juridiquement que comme un contrat mixte, qui comprend des aspects des contrats de services, d’entreprise et de location. Le domaine juridique applicable dépend donc de la partie du contrat relative à la prestation concernée. L'élément central d'un contrat SaaS relève principalement du droit des baux, car la mise à disposition de logiciels s'apparente le plus à la cession de la jouissance d'un bien dans le droit des baux. Comme le logiciel n’est pas considéré comme un « bien » au sens du droit du bail, on estime actuellement que les contrats SaaS constituent une mise à disposition temporaire en vue de l’utilisation. Cela s’accorde avec les dispositions et l’objectif poursuivis par le droit du bail. [5]

Les contrats PaaS sont largement régis par des accords de niveau de service (SLA) qui fixent des prestations minimales et définissent les droits et obligations des deux parties contractantes.

La protection et la sécurité des données jouent un rôle crucial, car les services PaaS traitent souvent des données sensibles. Le contrat doit contenirdes dispositions claires sur la protection des données à caractère personnel. De plus, il est inévitable de préciser dans le contrat qui détient la propriété intellectuelle des applications créées, l’utilisateur conservant généralement la propriété des applications et le fournisseur celle de la plateforme. [6]

Conclusion

Que tu sois une start-up, une société de capital-risque, une PME ou une grande entreprise, la sécurité du cloud est d’une importance cruciale pour toutes les entreprises.

Il ne s’agit pas seulement de choisir avec quels fournisseurs de cloud tu souhaites travailleren tant qu’entreprise , mais aussi de définir les conditions-cadres qui s’appliquent.

En fin de compte, la sécurité ne relève pas uniquement de la responsabilité du fournisseur de services de technologie cloud en soi, mais les collaborateurs d’une entreprise jouent un rôle tout aussi important dans l’aspect sécurité du cloud.

Il est indispensable d’investir régulièrement dans la formation et la sensibilisation des collaborateurs afin de s’assurer qu’ils disposent du savoir-faire nécessaire pour respecter les directives et procédures de sécurité. Pour exploiter pleinement le potentiel du cloud, les entreprises doivent investir aussi bien dans la maintenance de leurs propres systèmes ou de ceux de partenaires externes que dans le recrutement de nouveaux collaborateurs informatiques. C'est ainsi qu'une entreprise peut garantir la sécurité de ses systèmes et, par conséquent, améliorer la satisfaction de ses clients, ce qui renforce sa réputation à long terme.

Un point crucial dans le choix d’un fournisseur de cloud externe a toujours été la dépendance vis-à-vis des prestataires étrangers et de leurs réglementations en matière de protection des données. Les entreprises relèvent ce défi grâce à des mesures telles que l'examen approfondi des politiques de protection des données, des approches de cloud hybride pour minimiser les risques, l'évaluation des mesures de sécurité et des certifications des fournisseurs, des analyses d'impact sur la protection des données, une surveillance et des audits réguliers, ainsi que la préparation à d'éventuelles violations de la protection des données. Les stratégies varient en fonction de la taille et du secteur d'activité de l'entreprise, mais elles visent toutes à garantir la conformité en matière de protection des données et à minimiser les risques potentiels liés à l'utilisation de services cloud externes.

Bibliographie

Cloud Computing
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Modèle de déploiement dans le cloud (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Comprendre le cloud : sais-tu ce qu'est un cloud public et ce qu'est un cloud hybride ? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Qu'est-ce que l'IaaS ? Définition et infos utiles
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Ce à quoi tu dois faire attention lors de la rédaction de contrats SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Contrats PaaS (Platform-as-a-Service) : un guide (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html