Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)

VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION
DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé, ll.b., cissp, cisa, cipp/c
12 février 2014

www.isaca-quebec.ca

OBJECTIF ET AGENDA
Objectif
 Aspects légaux, pratiques courantes et les tendances de l’infonuagique.

Agenda
 Qu’est-ce que l’infonuagique?
 L’infonuagique est-elle inévitable?

 Droits, obligations et risques
 Qui utilise l’infonuagique?
 Le contrat d’infonuagique

 Devriez-vous migrer vers le nuage?

2

Qu’est-ce que l’infonuagique?

3

QU’EST-CE QUE L’INFONUAGIQUE?
“… Modèle permettant un accès pratique et sur demande à
un ensemble de ressources informatiques partagées et
configurables (e.g., réseaux, serveurs, stockage, applications
et services), qui peuvent être rapidement mises en
opération, avec un minimum d’effort de la part du client ou
d’interaction de la part du fournisseur du nuage.” – NIST

4

“… prestation sur Internet de ressources informatiques à la
demande (ce qui englobe un peu de tout, des applications
aux centres informatiques) selon un modèle de paiement à
l’utilisation.” – IBM

5


IBM

zoho

6

“… une forme particulière de gérance de l'informatique…
l'emplacement des données n‘étant pas porté à la
connaissance des clients.” – Commission générale de
terminologie et de néologie (France)

7

“Modèle informatique qui, par l'entremise de serveurs
distants interconnectés par Internet, permet un accès
réseau, à la demande, à un bassin partagé de ressources
informatiques configurables, externalisées et non
localisables, qui sont proposées sous forme de services,
évolutifs, adaptables dynamiquement et facturés à
l'utilisation.” – OQLF (Québec)

8


Source: Gravitant, http://blog.gravitant.com/2012/07/27/cloud-technology-spectrum/

9

SERVEURS GOOGLE…










Preuve électronique dans les nuages

États-Unis
Chili
Hong Kong
Singapour
Taiwan
Finlande
Belgique
Irlande
…

10

SERVEURS AMAZON…










États-Unis
Pays-Bas
Irlande
Allemagne
Royaume-Uni
Chine
Singapour
Japon
…

13

SERVEURS VERIZON/TERREMARK…

14

L’infonuagique est-elle inévitable?

15

CROISSANCE DE L’INFONUAGIQUE

16

STOCKAGE INFONUAGIQUE CONSOMMATEUR

17

INFONUAGIQUE - MARCHÉ AFFAIRES

*A Global Cloud Computing Study, Red Shift Research & AMD, mars 2011

18

CROISSANCE DE LA MOBILITÉ

20

Droits, obligations et risques

22

DROITS ET OBLIGATIONS


Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels (Prov./Publ.), art. 70.1.



Loi sur la protection des renseignements personnels dans le secteur privé
(Prov./Priv.), art. 8, 17.



Loi sur la protection des renseignements personnels (Féd./Publ.)



Loi sur l’accès à l’information (Féd./Publ.)



Loi sur la protection des renseignements personnels et les documents
électroniques (Féd./Priv.), princ. 4.13, 4.7.1.



Loi concernant le cadre juridique
(Prov./Publ./Priv.), art. 19, 25, 26, 34.

des

technologies

de

l'information

23

LES GRANDS PRINCIPES



Ces lois n’interdisent pas le transfert de RP
Mesures « raisonnables » pour assurer une protection équivalente


Révision du régime applicable



Encadrement contractuel du fournisseur

24

LES GRANDS PRINCIPES


Consentement (RP)



Sécurité (C.I.D.)



Responsabilité du fournisseur



Responsabilité des tiers



Neutralité juridique



Intégrité présumée



Protection équivalente (RP transmis à des tiers)



Équivalence des mesures vs. les lois



Informer si RP confiés à des tiers

25

PATRIOT ACT, FISA, LA, LSCRS, LEJMC, NSA…








Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism
Foreign Intelligence Surveillance Act
Loi Antiterroriste
Loi sur le Service Canadien du Renseignement de Sécurité
Loi sur l’Entraide Juridique en Matière Criminelle
NSA, CSCT, GCHQ, DGSE, etc.

Pétard mouillé ou trahison du monde?
26

RISQUES DE L’INFONUAGIQUE


Surveillance et compilation



Perte de contrôle, effacement et retour des données



Sous-traitance à des tiers



Protection inférieure et divulgation sans consentement



Accès pour des besoins techniques et modèle d’affaires



Contrat standard en faveur du fournisseur



Hébergement multi-locataires



Juridiction(s) applicable(s) et contraintes légales

27

LES FREINS À L’ADOPTION DE L’INFONUAGIQUE

*Cloud Computing Magazine 2013: cloud-adoption-exceeding-expectations-new-global-study-finds

28

Qui utilise l’infonuagique?

29

ORGANISATIONS DANS LE NUAGE GOOGLE

*http://www.google.com/apps/intl/en/customers/index.html#tab0

30

ORGANISATIONS DANS LE NUAGE AMAZON

*http://aws.amazon.com/fr/solutions/case-studies/

31

ORGANISATIONS DANS LE NUAGE MICROSOFT

*http://www.microsoft.com/en-us/office365/customer-stories.aspx#fbid=koJbjEfAqoR

32

Le contrat d’infonuagique

33

POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Suspension des services



Propriété des données



Conservation des données (eDiscovery)



Localisation des données



Modification des services et du contrat



Divulgation



Limite de garantie et de responsabilité



Notification d’incident



Migration des données



Activités des utilisateurs



Performance et fiabilité

34












Divulgation



















« … Nous utiliserons les mesures techniques et
opérationnelles raisonnables décrites dans la
présentation de sécurité applicable au service en
ligne… ».
ISO-2700x, SSAE 16, CSAE 3416, IAS 3402
Sécurité physique et logique
Plan de continuité et de recouvrement
Sauvegarde et site redondant
Chiffrement en transit et au repos*
Ségrégation des données sensibles
Maintenir certifications et audits
Transmettre annuellement + plan d’action
Aucune dégradation significative durant entente
35






Tout appartient au client






Usage limité pour fournir le service






+ dépannage et améliorations



Divulgation



Propriété sur données secondaires






Aucun profilage publicitaire




36






Souvent un manque de précision






Enjeu fondamental pour la PRP*






Protection équivalente à la loi QC…



Divulgation



Considérer exigences réglementaires









Aviser les personnes (données hébergées
à l’étranger, soumises aux lois locales,
accessibles par autorités…)

37












Divulgation









« … En cas d’obligation de divulgation,
nous ferons tout notre possible pour vous
aviser à l’avance sauf si interdit par la
loi… »



Exiger que le fournisseur requiert un
mandat ou un subpoena pour divulguer



Exiger un préavis, permettant de
contester, avant toute divulgation



Exception si la loi locale interdit la
divulgation

38












Divulgation









Fournisseur doit aviser rapidement
(surtout si RP), obtenir engagement



Définir ce qui constitue un incident (vol,
accès non autorisé, divulgation,
reproduction, modification, destruction…)



Prévoir rapport (circonstance, données,
auteurs, actions pour minimiser le
dommage et restaurer, etc.)

39












Divulgation









« … Le Client est responsable de toutes
les activités des utilisateurs finaux sur
leur compte, de toute transaction avec
un tiers lié à un compte et de toute
violation de propriété intellectuelle d’un
tiers associée aux données hébergées… »



Problématique en cas de tiers utilisateurs



Imposer directement les conditions aux
tiers utilisateurs, ou le Client prendra
mesures raisonnables pour les informer

40



« … Nous pouvons interrompre un
service et supprimer vos données si
votre utilisation représente une
menace pour le fonctionnement ou
l’intégrité du réseau, ou si le motif
de la suspension n’est pas remédié
dans les 30 jours… »


















Obtenir que le client soit le premier
intervenant pour suspendre






Fournisseur peut intervenir si
négligence du client ou urgence

41






En cas de litige (courriel, signature,
diffamation, pourriel, etc.)







Le Fournisseur doit pouvoir
conserver, isoler, éviter la destruction
et collaborer pour démontrer
l’authenticité et la fiabilité des
données













Aussi durant migration à la fin du
contrat

42

LA PREUVE ÉLECTRONIQUE CHEZ GOOGLE
E-discovery Option for Google Apps

Prix: 5$/utilisateur/mois







Politique de conservation
Gouvernance de l’information
Archivage de courriels et chats
Preuve électronique (recherche)
Obligation de conservation
(sursis de destruction)
 Exportation
 Audit

43

LA PREUVE ÉLECTRONIQUE CHEZ AMAZON

44

LA PREUVE ÉLECTRONIQUE CHEZ MICROSOFT

45



« … Les modifications spécifiques à
une nouvelle fonctionnalité ou a un
service ou les modifications
apportées pour des raisons
juridiques s’appliqueront
immédiatement… »



Exiger un préavis (e.g. 30 jours)



Ne pouvant diminuer la nature,
l’étendue ou la qualité des services





















Sinon, l’ancien contrat s’applique* ou
cause de résiliation du contrat

46



Garantie limitée au niveau de service






Obtenir garantie si violation PI de
tiers + indemnisation si poursuite









Plafond pour responsabilité (e.g. 12
mois de paiement ou 500$






Dommages exclus (perte de
données, revenus, interruption, etc.)









Sauf: faute lourde, négligence,
contrefaçon de PI, violation sécurité,
etc.

47



Prévoir scénario de migration à la fin
du contrat









Conservation des données durant
migration (e.g. 90 jours)






Prévoir remise des données sans
condition, dans format prédéterminé
(e.g. XML, CSV, ETL, etc.)










48



Niveau mensuel de disponibilité






Indisponibilité:






99% = 14m/J – 7,5h/M – 88h/A






99,9% = 1,5m/J – 44m/M – 9h/A



99,99% = 8s/J – 4,5m/M – 53m/A






99,999% = 26s/M – 5m/A









Remède = crédit mensuel…



Définir paramètres de performance



Résiliation si défaut répété

49

Devriez-vous migrer vers le nuage?

50

RÉFLEXION







Le nuage est-il un modèle d’affaires arrivé à maturité ?
Y a-t-il beaucoup de start-up au sein de compagnies d’envergure?
Sommes-nous contraints à un modèle « one size fits all »?
Sommes-nous contraints à un contrat « as is »?
Pouvons-nous confier toutes nos données au nuage?
Garder nos données critiques à l’interne ou utiliser un nuage privé?

51

CONCLUSION


Pour les PME, l’information est mieux protégée dans le nuage:








Plus de ressources consacrés à la sécurité
L’information sensible n’est plus stockée sur des équipements vulnérables

Vérifier les restrictions légales et réglementaires applicables
Sauf exception, la juridiction est plus ou moins importante
Ce qui compte, c’est l’exécution du contrat
Gestion et tolérance au risque – Décision subjective!

52

CONCLUSION





Les révélations Snowden/NSA ont créée un électrochoc
Gouvernements, entreprises et millions de personnes impliqués
Un intrus demeure toujours un intrus, peu importe de qui il s’agit
Mesures actuelles insuffisantes pour assurer la vie privée sur le Net




Voir: vod2.com/publication

Croisée des chemins - Changement de paradigme s’impose…


Législatif, politique et technologique

53

VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES :
RÉALISME OU UTOPIE?

René W. Vergé
BROUILLETTE ET ASSOCIÉS

1 (514) 992-4271
rv@brouillette.ca

“C’était beaucoup plus simple avant que les gens commencent à
stocker leur données personnelles dans les nuages…”

54

Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)

Ähnlich wie Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé) (20)

Mehr von ISACA Chapitre de Québec

Mehr von ISACA Chapitre de Québec (20)

Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)