Vidéo: rclone - Sauvegarde chiffrée dans le Cloud (Novembre 2024)
À mesure que l'adoption du cloud devient omniprésente, il est plus important que jamais pour les entreprises de comprendre les réglementations et les responsabilités civiles associées au stockage de données et d'applications dans le cloud. Plus de 93% des entreprises utilisent le cloud d'une manière ou d'une autre, selon les résultats de l'enquête de Right Scale, une société de gestion de cloud. Toutefois, les entreprises qui stockent des données sur des clouds publics et hybrides sont particulièrement sujettes à une réglementation et à des sanctions en cas de violation des données ou d'indisponibilité importante du cloud.
La plupart des entreprises, en particulier les petites et moyennes entreprises (PME), signent des contrats de niveau de service standard avec des fournisseurs de cloud. Ces contrats de niveau de service ont tendance à être plus avantageux pour le fournisseur que pour le client et, par conséquent, pour limiter les dommages que les fournisseurs du cloud computing doivent payer en cas de sinistre.
Pour vous aider à comprendre ce que vous devez savoir pour être mieux préparé aux conséquences juridiques du passage au cloud et pour déterminer si vous êtes protégé en cas de violation de votre cloud public ou hybride, nous avons compilé cette liste de: choses à considérer.
1. Qui est responsable des informations client après la violation des données?
Supposons que vous stockiez toutes vos données client dans le cloud d'un tiers. Si un pirate informatique est capable de violer ce nuage, de voler vos données et de les utiliser pour nuire à vos clients, quelqu'un finira par payer des pénalités civiles. Selon le libellé de votre contrat de niveau de service, votre fournisseur de services cloud limitera probablement ses dommages aux "dommages réels" par opposition aux "dommages indirects" dont votre entreprise est probablement responsable.
"Habituellement, un fournisseur rédige son contrat de telle sorte que sa responsabilité pour négligence ordinaire soit assez minime, généralement limitée à des" dommages réels "et souvent limitée au montant que le client a payé au fournisseur au cours des six ou 12 derniers mois, "a déclaré Steven Ayr, conseiller juridique à Fort Point Legal, une société spécialisée dans la représentation d’entrepreneurs et de petites entreprises. "Les dommages réels sont désignés comme l'argent que le client a payé pour le service qui n'a pas été fourni. En limitant les dommages aux" dommages réels ", les contrats éliminent la possibilité que le vendeur puisse être tenu responsable des" dommages indirects "et d'autres classes de dommages-intérêts comme dommages punitifs. "
Ayr décrit les dommages consécutifs comme des pertes financières qui ne sont qu'une étape de la violation ou du temps d'inactivité du cloud. Par exemple, si votre client était censé donner un argument de vente important via votre plate-forme de collaboration en ligne, mais ne pouvait pas le faire car le cloud était en panne, vous seriez responsable des dommages consécutifs à ce temps d'arrêt.
Il en va de même pour les violations de données ou les accidents purs. La plupart des contrats de niveau de service limitent les dommages que les fournisseurs de services cloud doivent payer si des pirates informatiques élitistes percent des systèmes à la pointe de la technologie ou si un tiers coupe la connexion fibre optique en dehors du centre de données. Ce n'est que si votre avocat est en mesure de prouver une "faute lourde" que le vendeur sera le principal responsable des responsabilités financières d'une catastrophe dans le cloud. La négligence grave s’applique généralement aux mesures de sécurité médiocres ou aux actions malveillantes intentionnelles prises par le vendeur.
2. Qui est responsable de la soumission des données aux agences gouvernementales?
Même si vous travaillez avec le fournisseur de cloud le plus sécurisé du monde, cela ne signifie pas que vos données ne peuvent pas être consultées sans votre consentement et sans aucun recours légal de votre côté. Parce que vous transmettez vos données à un fournisseur de cloud, vous donnez essentiellement à celui-ci la permission de consentir aux mandats gouvernementaux. La plupart des contrats de niveau de service l'indiquent très clairement et il est peu probable que de grands fournisseurs de services de cloud computing tels qu'Amazon Web Services (AWS) ou Microsoft Azure soient disposés à modifier leur contrat de niveau de service standard pour une entreprise qui n'est pas un compte White Whale.
Par conséquent, si vous avez des réserves extrêmes au sujet de l'intrusion du gouvernement, il est probablement préférable de créer votre propre cloud privé ou de stocker vos données localement. Dans ces circonstances, vous pourrez vous opposer au mandat et protéger les données de vos clients. Toutefois, si vous choisissez un cloud public ou hybride, vous feriez bien d'espérer que votre fournisseur partage votre intolérance envers Big Brother.
3. Quelles sont les réglementations spécifiques aux nuages par géographie?
Il est déjà assez difficile de suivre vos droits sur la gestion de vos données aux États-Unis. Malheureusement, les réglementations mondiales diffèrent pour chaque pays spécifique et, dans certains cas, au sein de chaque juridiction dans chaque pays spécifique. Si vous êtes une entreprise multinationale avec des fournisseurs de services de cloud computing dans différentes régions géographiques, vous êtes confronté à un mal de tête majeur qui consiste à essayer de comprendre et de gérer les réglementations et les responsabilités associées.
Selon Ayr, il est essentiel que les entreprises stockant des données dans le monde entier collaborent avec des avocats pour identifier les types de données qu'elles stockent, les zones géographiques dans lesquelles elles stockent les données et les lois spécifiques en vigueur dans ces pays.
"Cela peut être un travail lent et coûteux, " a dit Ayr, "soit parce que vous allez soit payer quelqu'un qui prend le temps de faire des recherches sur les lois de plusieurs pays avec lesquels il est familier, engagez un avocat dans chaque pays qui a déjà connaît ces lois, ou engagez un expert très coûteux en la matière qui connaît déjà les tenants et les aboutissants de chaque juridiction."
Malheureusement, le moyen le plus simple et le plus économique de vous assurer de votre conformité au sein de chaque juridiction consiste à faire porter la responsabilité à votre fournisseur de services. Étant donné que les fournisseurs de services mondiaux ont déjà étendu leurs activités et ont fait le nécessaire pour déterminer comment les données devraient être traitées de manière globale, ils sont plus susceptibles de disposer des informations et des meilleures pratiques en place.
"Après tout, il est beaucoup moins coûteux d'engager un avocat pour vérifier la conformité des conditions de service d'un fournisseur que de le faire pour créer des conditions conformes et pour les négocier ensuite avec un fournisseur", a déclaré Ayr. Mais cela signifie également que vous comptez sur les SLA. Nous avons déjà exploré les moyens importants qu’ils peuvent utiliser pour le fournisseur.
4. Pourquoi devriez-vous vous sentir à l'aise de stocker des données dans le cloud?
Aux États-Unis, la plupart des entreprises sont protégées par les lois sur la sécurité des données qui régissent le traitement des informations personnelles identifiables (PII). Ces lois exigent des fournisseurs qu'ils créent des politiques écrites décrivant leurs stratégies de protection des données et les obligent à assumer au moins une partie de la responsabilité en cas d'infraction et de temps d'arrêt. En cas d'infraction, ces lois rendent également obligatoire le signalement au procureur général. Dans le Massachusetts, par exemple, cette loi s'appelle 201 CMR 17.00. En Californie, la loi s'appelle SB 1386. À ce jour, 47 États américains ont adopté des lois similaires.
Si les lois ne suffisent pas pour vous mettre à l'aise (et elles ne devraient pas l'être), il existe des fournisseurs de cloud qui se vendent en défenseurs de la protection de la vie privée et de la sécurité. Des entreprises telles que Spider Oak, fournisseur de services de reprise après sinistre, sont connues sous le nom de services de cloud computing sans connaissances; ils chiffrent les données sur les appareils de leurs clients avant de les télécharger sur le cloud. La connaissance zéro signifie que Spider Oak et ses concurrents ne traitent jamais les données déchiffrées. Cette pratique les aide à limiter les risques potentiels et à ne jamais se mettre dans une position où ils sont obligés de transmettre des données à des entités gouvernementales.
"Il existe un bon nombre de risques que les organisations ignorent souvent lors de la migration de systèmes et de services vers le cloud", a déclaré Mike McCamon, président et directeur du marketing chez Spider Oak. "Nous résumerions les quatre principaux domaines en termes de sécurité, de confidentialité, de continuité et de contrôle."
"Nous n'avons à aucun moment un mot de passe ou une version de leurs données déchiffrées", a ajouté McCamon. "Même nos propres administrateurs système sont incapables d'en savoir plus sur le client que le volume de données stockées dans notre système. Les seules données que nous collectons sur les utilisateurs sont une adresse e-mail et des informations de facturation si elles nécessitent un plan de service."
Peu importe si les entreprises travaillent avec de grands fournisseurs tels qu'Amazon et Microsoft, ou de petits fournisseurs sans connaissances tels que Spider Oak, ils continueront à utiliser le cloud, affirme Ayr.
"Dans mon travail avec les start-ups, je ne vois généralement pas d'entreprises particulièrement nerveuses au sujet de l'utilisation du cloud", a déclaré Ayr. "Les nouvelles entreprises, pour le meilleur ou pour le pire, considèrent le cloud comme tout aussi sûr et banal que de placer des documents dans un classeur."
