Nouveau cadre de gouvernance de la sécurité de l'information
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)
1. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION
DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé, ll.b., cissp, cisa, cipp/c
12 février 2014
www.isaca-quebec.ca
2. OBJECTIF ET AGENDA
Objectif
Aspects légaux, pratiques courantes et les tendances de l’infonuagique.
Agenda
Qu’est-ce que l’infonuagique?
L’infonuagique est-elle inévitable?
Droits, obligations et risques
Qui utilise l’infonuagique?
Le contrat d’infonuagique
Devriez-vous migrer vers le nuage?
2
4. QU’EST-CE QUE L’INFONUAGIQUE?
“… Modèle permettant un accès pratique et sur demande à
un ensemble de ressources informatiques partagées et
configurables (e.g., réseaux, serveurs, stockage, applications
et services), qui peuvent être rapidement mises en
opération, avec un minimum d’effort de la part du client ou
d’interaction de la part du fournisseur du nuage.” – NIST
4
5. QU’EST-CE QUE L’INFONUAGIQUE?
“… prestation sur Internet de ressources informatiques à la
demande (ce qui englobe un peu de tout, des applications
aux centres informatiques) selon un modèle de paiement à
l’utilisation.” – IBM
5
7. QU’EST-CE QUE L’INFONUAGIQUE?
“… une forme particulière de gérance de l'informatique…
l'emplacement des données n‘étant pas porté à la
connaissance des clients.” – Commission générale de
terminologie et de néologie (France)
7
8. QU’EST-CE QUE L’INFONUAGIQUE?
“Modèle informatique qui, par l'entremise de serveurs
distants interconnectés par Internet, permet un accès
réseau, à la demande, à un bassin partagé de ressources
informatiques configurables, externalisées et non
localisables, qui sont proposées sous forme de services,
évolutifs, adaptables dynamiquement et facturés à
l'utilisation.” – OQLF (Québec)
8
23. DROITS ET OBLIGATIONS
Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels (Prov./Publ.), art. 70.1.
Loi sur la protection des renseignements personnels dans le secteur privé
(Prov./Priv.), art. 8, 17.
Loi sur la protection des renseignements personnels (Féd./Publ.)
Loi sur l’accès à l’information (Féd./Publ.)
Loi sur la protection des renseignements personnels et les documents
électroniques (Féd./Priv.), princ. 4.13, 4.7.1.
Loi concernant le cadre juridique
(Prov./Publ./Priv.), art. 19, 25, 26, 34.
des
technologies
de
l'information
23
24. LES GRANDS PRINCIPES
Ces lois n’interdisent pas le transfert de RP
Mesures « raisonnables » pour assurer une protection équivalente
Révision du régime applicable
Encadrement contractuel du fournisseur
24
25. LES GRANDS PRINCIPES
Consentement (RP)
Sécurité (C.I.D.)
Responsabilité du fournisseur
Responsabilité des tiers
Neutralité juridique
Intégrité présumée
Protection équivalente (RP transmis à des tiers)
Équivalence des mesures vs. les lois
Informer si RP confiés à des tiers
25
26. PATRIOT ACT, FISA, LA, LSCRS, LEJMC, NSA…
Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism
Foreign Intelligence Surveillance Act
Loi Antiterroriste
Loi sur le Service Canadien du Renseignement de Sécurité
Loi sur l’Entraide Juridique en Matière Criminelle
NSA, CSCT, GCHQ, DGSE, etc.
Pétard mouillé ou trahison du monde?
26
27. RISQUES DE L’INFONUAGIQUE
Surveillance et compilation
Perte de contrôle, effacement et retour des données
Sous-traitance à des tiers
Protection inférieure et divulgation sans consentement
Accès pour des besoins techniques et modèle d’affaires
Contrat standard en faveur du fournisseur
Hébergement multi-locataires
Juridiction(s) applicable(s) et contraintes légales
27
28. LES FREINS À L’ADOPTION DE L’INFONUAGIQUE
*Cloud Computing Magazine 2013: cloud-adoption-exceeding-expectations-new-global-study-finds
28
34. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Suspension des services
Propriété des données
Conservation des données (eDiscovery)
Localisation des données
Modification des services et du contrat
Divulgation
Limite de garantie et de responsabilité
Notification d’incident
Migration des données
Activités des utilisateurs
Performance et fiabilité
34
35. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … Nous utiliserons les mesures techniques et
opérationnelles raisonnables décrites dans la
présentation de sécurité applicable au service en
ligne… ».
ISO-2700x, SSAE 16, CSAE 3416, IAS 3402
Sécurité physique et logique
Plan de continuité et de recouvrement
Sauvegarde et site redondant
Chiffrement en transit et au repos*
Ségrégation des données sensibles
Maintenir certifications et audits
Transmettre annuellement + plan d’action
Aucune dégradation significative durant entente
35
36. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Tout appartient au client
Propriété des données
Usage limité pour fournir le service
Localisation des données
+ dépannage et améliorations
Divulgation
Propriété sur données secondaires
Notification d’incident
Aucun profilage publicitaire
Activités des utilisateurs
36
37. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Souvent un manque de précision
Propriété des données
Enjeu fondamental pour la PRP*
Localisation des données
Protection équivalente à la loi QC…
Divulgation
Considérer exigences réglementaires
Notification d’incident
Activités des utilisateurs
Aviser les personnes (données hébergées
à l’étranger, soumises aux lois locales,
accessibles par autorités…)
37
38. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … En cas d’obligation de divulgation,
nous ferons tout notre possible pour vous
aviser à l’avance sauf si interdit par la
loi… »
Exiger que le fournisseur requiert un
mandat ou un subpoena pour divulguer
Exiger un préavis, permettant de
contester, avant toute divulgation
Exception si la loi locale interdit la
divulgation
38
39. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
Fournisseur doit aviser rapidement
(surtout si RP), obtenir engagement
Définir ce qui constitue un incident (vol,
accès non autorisé, divulgation,
reproduction, modification, destruction…)
Prévoir rapport (circonstance, données,
auteurs, actions pour minimiser le
dommage et restaurer, etc.)
39
40. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … Le Client est responsable de toutes
les activités des utilisateurs finaux sur
leur compte, de toute transaction avec
un tiers lié à un compte et de toute
violation de propriété intellectuelle d’un
tiers associée aux données hébergées… »
Problématique en cas de tiers utilisateurs
Imposer directement les conditions aux
tiers utilisateurs, ou le Client prendra
mesures raisonnables pour les informer
40
41. POINTS CRITIQUES ET OBJECTIFS
« … Nous pouvons interrompre un
service et supprimer vos données si
votre utilisation représente une
menace pour le fonctionnement ou
l’intégrité du réseau, ou si le motif
de la suspension n’est pas remédié
dans les 30 jours… »
Suspension des services
Conservation des données (eDiscovery)
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Obtenir que le client soit le premier
intervenant pour suspendre
Performance et fiabilité
Fournisseur peut intervenir si
négligence du client ou urgence
41
42. POINTS CRITIQUES ET OBJECTIFS
En cas de litige (courriel, signature,
diffamation, pourriel, etc.)
Suspension des services
Conservation des données (eDiscovery)
Le Fournisseur doit pouvoir
conserver, isoler, éviter la destruction
et collaborer pour démontrer
l’authenticité et la fiabilité des
données
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
Aussi durant migration à la fin du
contrat
42
43. LA PREUVE ÉLECTRONIQUE CHEZ GOOGLE
E-discovery Option for Google Apps
Prix: 5$/utilisateur/mois
Politique de conservation
Gouvernance de l’information
Archivage de courriels et chats
Preuve électronique (recherche)
Obligation de conservation
(sursis de destruction)
Exportation
Audit
43
46. POINTS CRITIQUES ET OBJECTIFS
« … Les modifications spécifiques à
une nouvelle fonctionnalité ou a un
service ou les modifications
apportées pour des raisons
juridiques s’appliqueront
immédiatement… »
Exiger un préavis (e.g. 30 jours)
Ne pouvant diminuer la nature,
l’étendue ou la qualité des services
Suspension des services
Conservation des données (eDiscovery)
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
Sinon, l’ancien contrat s’applique* ou
cause de résiliation du contrat
46
47. POINTS CRITIQUES ET OBJECTIFS
Garantie limitée au niveau de service
Suspension des services
Obtenir garantie si violation PI de
tiers + indemnisation si poursuite
Conservation des données (eDiscovery)
Modification des services et du contrat
Plafond pour responsabilité (e.g. 12
mois de paiement ou 500$
Limite de garantie et de responsabilité
Dommages exclus (perte de
données, revenus, interruption, etc.)
Migration des données
Performance et fiabilité
Sauf: faute lourde, négligence,
contrefaçon de PI, violation sécurité,
etc.
47
48. POINTS CRITIQUES ET OBJECTIFS
Prévoir scénario de migration à la fin
du contrat
Suspension des services
Conservation des données (eDiscovery)
Conservation des données durant
migration (e.g. 90 jours)
Modification des services et du contrat
Prévoir remise des données sans
condition, dans format prédéterminé
(e.g. XML, CSV, ETL, etc.)
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
48
49. POINTS CRITIQUES ET OBJECTIFS
Niveau mensuel de disponibilité
Suspension des services
Indisponibilité:
Conservation des données (eDiscovery)
99% = 14m/J – 7,5h/M – 88h/A
Modification des services et du contrat
99,9% = 1,5m/J – 44m/M – 9h/A
99,99% = 8s/J – 4,5m/M – 53m/A
Limite de garantie et de responsabilité
99,999% = 26s/M – 5m/A
Migration des données
Performance et fiabilité
Remède = crédit mensuel…
Définir paramètres de performance
Résiliation si défaut répété
49
51. RÉFLEXION
Le nuage est-il un modèle d’affaires arrivé à maturité ?
Y a-t-il beaucoup de start-up au sein de compagnies d’envergure?
Sommes-nous contraints à un modèle « one size fits all »?
Sommes-nous contraints à un contrat « as is »?
Pouvons-nous confier toutes nos données au nuage?
Garder nos données critiques à l’interne ou utiliser un nuage privé?
51
52. CONCLUSION
Pour les PME, l’information est mieux protégée dans le nuage:
Plus de ressources consacrés à la sécurité
L’information sensible n’est plus stockée sur des équipements vulnérables
Vérifier les restrictions légales et réglementaires applicables
Sauf exception, la juridiction est plus ou moins importante
Ce qui compte, c’est l’exécution du contrat
Gestion et tolérance au risque – Décision subjective!
52
53. CONCLUSION
Les révélations Snowden/NSA ont créée un électrochoc
Gouvernements, entreprises et millions de personnes impliqués
Un intrus demeure toujours un intrus, peu importe de qui il s’agit
Mesures actuelles insuffisantes pour assurer la vie privée sur le Net
Voir: vod2.com/publication
Croisée des chemins - Changement de paradigme s’impose…
Législatif, politique et technologique
53
54. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé
BROUILLETTE ET ASSOCIÉS
1 (514) 992-4271
rv@brouillette.ca
“C’était beaucoup plus simple avant que les gens commencent à
stocker leur données personnelles dans les nuages…”
54