VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION
DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé, ll.b., cissp, cisa, cipp/c
12...
OBJECTIF ET AGENDA
Objectif
 Aspects légaux, pratiques courantes et les tendances de l’infonuagique.

Agenda
 Qu’est-ce ...
Qu’est-ce que l’infonuagique?

3
QU’EST-CE QUE L’INFONUAGIQUE?
“… Modèle permettant un accès pratique et sur demande à
un ensemble de ressources informatiq...
QU’EST-CE QUE L’INFONUAGIQUE?
“… prestation sur Internet de ressources informatiques à la
demande (ce qui englobe un peu d...
QU’EST-CE QUE L’INFONUAGIQUE?

IBM

zoho

6
QU’EST-CE QUE L’INFONUAGIQUE?
“… une forme particulière de gérance de l'informatique…
l'emplacement des données n‘étant pa...
QU’EST-CE QUE L’INFONUAGIQUE?
“Modèle informatique qui, par l'entremise de serveurs
distants interconnectés par Internet, ...
QU’EST-CE QUE L’INFONUAGIQUE?

Source: Gravitant, http://blog.gravitant.com/2012/07/27/cloud-technology-spectrum/

9
SERVEURS GOOGLE…










Preuve électronique dans les nuages

États-Unis
Chili
Hong Kong
Singapour
Taiwan
Finla...
SERVEURS MICROSOFT…

11
SERVEURS MICROSOFT…

12
SERVEURS AMAZON…










États-Unis
Pays-Bas
Irlande
Allemagne
Royaume-Uni
Chine
Singapour
Japon
…

13
SERVEURS VERIZON/TERREMARK…

14
L’infonuagique est-elle inévitable?

15
CROISSANCE DE L’INFONUAGIQUE

16
STOCKAGE INFONUAGIQUE CONSOMMATEUR

17
INFONUAGIQUE - MARCHÉ AFFAIRES

*A Global Cloud Computing Study, Red Shift Research & AMD, mars 2011

18
TRAITEMENT DANS LE NUAGE

19
CROISSANCE DE LA MOBILITÉ

20
CROISSANCE DES DONNÉES

21
Droits, obligations et risques

22
DROITS ET OBLIGATIONS


Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements pers...
LES GRANDS PRINCIPES



Ces lois n’interdisent pas le transfert de RP
Mesures « raisonnables » pour assurer une protecti...
LES GRANDS PRINCIPES


Consentement (RP)



Sécurité (C.I.D.)



Responsabilité du fournisseur



Responsabilité des t...
PATRIOT ACT, FISA, LA, LSCRS, LEJMC, NSA…








Uniting and Strengthening America by Providing Appropriate Tools
R...
RISQUES DE L’INFONUAGIQUE


Surveillance et compilation



Perte de contrôle, effacement et retour des données



Sous-...
LES FREINS À L’ADOPTION DE L’INFONUAGIQUE

*Cloud Computing Magazine 2013: cloud-adoption-exceeding-expectations-new-globa...
Qui utilise l’infonuagique?

29
ORGANISATIONS DANS LE NUAGE GOOGLE

*http://www.google.com/apps/intl/en/customers/index.html#tab0

30
ORGANISATIONS DANS LE NUAGE AMAZON

*http://aws.amazon.com/fr/solutions/case-studies/

31
ORGANISATIONS DANS LE NUAGE MICROSOFT

*http://www.microsoft.com/en-us/office365/customer-stories.aspx#fbid=koJbjEfAqoR

3...
Le contrat d’infonuagique

33
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Suspension des services



Propriété des données



Conservati...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Propriété des données



Localisation des données



Divulgati...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Tout appartient au client



Propriété des données



Usage li...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Souvent un manque de précision



Propriété des données



Enj...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Propriété des données



Localisation des données



Divulgati...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Propriété des données



Localisation des données



Divulgati...
POINTS CRITIQUES ET OBJECTIFS


Sécurité des données



Propriété des données



Localisation des données



Divulgati...
POINTS CRITIQUES ET OBJECTIFS


« … Nous pouvons interrompre un
service et supprimer vos données si
votre utilisation rep...
POINTS CRITIQUES ET OBJECTIFS





En cas de litige (courriel, signature,
diffamation, pourriel, etc.)



Suspension d...
LA PREUVE ÉLECTRONIQUE CHEZ GOOGLE
E-discovery Option for Google Apps

Prix: 5$/utilisateur/mois







Politique de ...
LA PREUVE ÉLECTRONIQUE CHEZ AMAZON

44
LA PREUVE ÉLECTRONIQUE CHEZ MICROSOFT

45
POINTS CRITIQUES ET OBJECTIFS


« … Les modifications spécifiques à
une nouvelle fonctionnalité ou a un
service ou les mo...
POINTS CRITIQUES ET OBJECTIFS


Garantie limitée au niveau de service



Suspension des services



Obtenir garantie si...
POINTS CRITIQUES ET OBJECTIFS


Prévoir scénario de migration à la fin
du contrat



Suspension des services





Cons...
POINTS CRITIQUES ET OBJECTIFS


Niveau mensuel de disponibilité



Suspension des services



Indisponibilité:



Cons...
Devriez-vous migrer vers le nuage?

50
RÉFLEXION







Le nuage est-il un modèle d’affaires arrivé à maturité ?
Y a-t-il beaucoup de start-up au sein de c...
CONCLUSION


Pour les PME, l’information est mieux protégée dans le nuage:








Plus de ressources consacrés à l...
CONCLUSION





Les révélations Snowden/NSA ont créée un électrochoc
Gouvernements, entreprises et millions de personn...
VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES :
RÉALISME OU UTOPIE?

René W. Vergé
BROUILLETTE ET ASSOCIÉS

1 (5...
Prochain SlideShare
Chargement dans…5
×

Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)

2 513 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 513
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 533
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)

  1. 1. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES : RÉALISME OU UTOPIE? René W. Vergé, ll.b., cissp, cisa, cipp/c 12 février 2014 www.isaca-quebec.ca
  2. 2. OBJECTIF ET AGENDA Objectif  Aspects légaux, pratiques courantes et les tendances de l’infonuagique. Agenda  Qu’est-ce que l’infonuagique?  L’infonuagique est-elle inévitable?  Droits, obligations et risques  Qui utilise l’infonuagique?  Le contrat d’infonuagique  Devriez-vous migrer vers le nuage? 2
  3. 3. Qu’est-ce que l’infonuagique? 3
  4. 4. QU’EST-CE QUE L’INFONUAGIQUE? “… Modèle permettant un accès pratique et sur demande à un ensemble de ressources informatiques partagées et configurables (e.g., réseaux, serveurs, stockage, applications et services), qui peuvent être rapidement mises en opération, avec un minimum d’effort de la part du client ou d’interaction de la part du fournisseur du nuage.” – NIST 4
  5. 5. QU’EST-CE QUE L’INFONUAGIQUE? “… prestation sur Internet de ressources informatiques à la demande (ce qui englobe un peu de tout, des applications aux centres informatiques) selon un modèle de paiement à l’utilisation.” – IBM 5
  6. 6. QU’EST-CE QUE L’INFONUAGIQUE? IBM zoho 6
  7. 7. QU’EST-CE QUE L’INFONUAGIQUE? “… une forme particulière de gérance de l'informatique… l'emplacement des données n‘étant pas porté à la connaissance des clients.” – Commission générale de terminologie et de néologie (France) 7
  8. 8. QU’EST-CE QUE L’INFONUAGIQUE? “Modèle informatique qui, par l'entremise de serveurs distants interconnectés par Internet, permet un accès réseau, à la demande, à un bassin partagé de ressources informatiques configurables, externalisées et non localisables, qui sont proposées sous forme de services, évolutifs, adaptables dynamiquement et facturés à l'utilisation.” – OQLF (Québec) 8
  9. 9. QU’EST-CE QUE L’INFONUAGIQUE? Source: Gravitant, http://blog.gravitant.com/2012/07/27/cloud-technology-spectrum/ 9
  10. 10. SERVEURS GOOGLE…          Preuve électronique dans les nuages États-Unis Chili Hong Kong Singapour Taiwan Finlande Belgique Irlande … 10
  11. 11. SERVEURS MICROSOFT… 11
  12. 12. SERVEURS MICROSOFT… 12
  13. 13. SERVEURS AMAZON…          États-Unis Pays-Bas Irlande Allemagne Royaume-Uni Chine Singapour Japon … 13
  14. 14. SERVEURS VERIZON/TERREMARK… 14
  15. 15. L’infonuagique est-elle inévitable? 15
  16. 16. CROISSANCE DE L’INFONUAGIQUE 16
  17. 17. STOCKAGE INFONUAGIQUE CONSOMMATEUR 17
  18. 18. INFONUAGIQUE - MARCHÉ AFFAIRES *A Global Cloud Computing Study, Red Shift Research & AMD, mars 2011 18
  19. 19. TRAITEMENT DANS LE NUAGE 19
  20. 20. CROISSANCE DE LA MOBILITÉ 20
  21. 21. CROISSANCE DES DONNÉES 21
  22. 22. Droits, obligations et risques 22
  23. 23. DROITS ET OBLIGATIONS  Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Prov./Publ.), art. 70.1.  Loi sur la protection des renseignements personnels dans le secteur privé (Prov./Priv.), art. 8, 17.  Loi sur la protection des renseignements personnels (Féd./Publ.)  Loi sur l’accès à l’information (Féd./Publ.)  Loi sur la protection des renseignements personnels et les documents électroniques (Féd./Priv.), princ. 4.13, 4.7.1.  Loi concernant le cadre juridique (Prov./Publ./Priv.), art. 19, 25, 26, 34. des technologies de l'information 23
  24. 24. LES GRANDS PRINCIPES   Ces lois n’interdisent pas le transfert de RP Mesures « raisonnables » pour assurer une protection équivalente  Révision du régime applicable  Encadrement contractuel du fournisseur 24
  25. 25. LES GRANDS PRINCIPES  Consentement (RP)  Sécurité (C.I.D.)  Responsabilité du fournisseur  Responsabilité des tiers  Neutralité juridique  Intégrité présumée  Protection équivalente (RP transmis à des tiers)  Équivalence des mesures vs. les lois  Informer si RP confiés à des tiers 25
  26. 26. PATRIOT ACT, FISA, LA, LSCRS, LEJMC, NSA…       Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Foreign Intelligence Surveillance Act Loi Antiterroriste Loi sur le Service Canadien du Renseignement de Sécurité Loi sur l’Entraide Juridique en Matière Criminelle NSA, CSCT, GCHQ, DGSE, etc. Pétard mouillé ou trahison du monde? 26
  27. 27. RISQUES DE L’INFONUAGIQUE  Surveillance et compilation  Perte de contrôle, effacement et retour des données  Sous-traitance à des tiers  Protection inférieure et divulgation sans consentement  Accès pour des besoins techniques et modèle d’affaires  Contrat standard en faveur du fournisseur  Hébergement multi-locataires  Juridiction(s) applicable(s) et contraintes légales 27
  28. 28. LES FREINS À L’ADOPTION DE L’INFONUAGIQUE *Cloud Computing Magazine 2013: cloud-adoption-exceeding-expectations-new-global-study-finds 28
  29. 29. Qui utilise l’infonuagique? 29
  30. 30. ORGANISATIONS DANS LE NUAGE GOOGLE *http://www.google.com/apps/intl/en/customers/index.html#tab0 30
  31. 31. ORGANISATIONS DANS LE NUAGE AMAZON *http://aws.amazon.com/fr/solutions/case-studies/ 31
  32. 32. ORGANISATIONS DANS LE NUAGE MICROSOFT *http://www.microsoft.com/en-us/office365/customer-stories.aspx#fbid=koJbjEfAqoR 32
  33. 33. Le contrat d’infonuagique 33
  34. 34. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Suspension des services  Propriété des données  Conservation des données (eDiscovery)  Localisation des données  Modification des services et du contrat  Divulgation  Limite de garantie et de responsabilité  Notification d’incident  Migration des données  Activités des utilisateurs  Performance et fiabilité 34
  35. 35. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Propriété des données  Localisation des données  Divulgation  Notification d’incident  Activités des utilisateurs           « … Nous utiliserons les mesures techniques et opérationnelles raisonnables décrites dans la présentation de sécurité applicable au service en ligne… ». ISO-2700x, SSAE 16, CSAE 3416, IAS 3402 Sécurité physique et logique Plan de continuité et de recouvrement Sauvegarde et site redondant Chiffrement en transit et au repos* Ségrégation des données sensibles Maintenir certifications et audits Transmettre annuellement + plan d’action Aucune dégradation significative durant entente 35
  36. 36. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Tout appartient au client  Propriété des données  Usage limité pour fournir le service  Localisation des données  + dépannage et améliorations  Divulgation  Propriété sur données secondaires  Notification d’incident  Aucun profilage publicitaire  Activités des utilisateurs 36
  37. 37. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Souvent un manque de précision  Propriété des données  Enjeu fondamental pour la PRP*  Localisation des données  Protection équivalente à la loi QC…  Divulgation  Considérer exigences réglementaires  Notification d’incident   Activités des utilisateurs Aviser les personnes (données hébergées à l’étranger, soumises aux lois locales, accessibles par autorités…) 37
  38. 38. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Propriété des données  Localisation des données  Divulgation  Notification d’incident  Activités des utilisateurs  « … En cas d’obligation de divulgation, nous ferons tout notre possible pour vous aviser à l’avance sauf si interdit par la loi… »  Exiger que le fournisseur requiert un mandat ou un subpoena pour divulguer  Exiger un préavis, permettant de contester, avant toute divulgation  Exception si la loi locale interdit la divulgation 38
  39. 39. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Propriété des données  Localisation des données  Divulgation  Notification d’incident  Activités des utilisateurs  Fournisseur doit aviser rapidement (surtout si RP), obtenir engagement  Définir ce qui constitue un incident (vol, accès non autorisé, divulgation, reproduction, modification, destruction…)  Prévoir rapport (circonstance, données, auteurs, actions pour minimiser le dommage et restaurer, etc.) 39
  40. 40. POINTS CRITIQUES ET OBJECTIFS  Sécurité des données  Propriété des données  Localisation des données  Divulgation  Notification d’incident  Activités des utilisateurs  « … Le Client est responsable de toutes les activités des utilisateurs finaux sur leur compte, de toute transaction avec un tiers lié à un compte et de toute violation de propriété intellectuelle d’un tiers associée aux données hébergées… »  Problématique en cas de tiers utilisateurs  Imposer directement les conditions aux tiers utilisateurs, ou le Client prendra mesures raisonnables pour les informer 40
  41. 41. POINTS CRITIQUES ET OBJECTIFS  « … Nous pouvons interrompre un service et supprimer vos données si votre utilisation représente une menace pour le fonctionnement ou l’intégrité du réseau, ou si le motif de la suspension n’est pas remédié dans les 30 jours… »  Suspension des services  Conservation des données (eDiscovery)  Modification des services et du contrat  Limite de garantie et de responsabilité  Migration des données  Obtenir que le client soit le premier intervenant pour suspendre  Performance et fiabilité  Fournisseur peut intervenir si négligence du client ou urgence 41
  42. 42. POINTS CRITIQUES ET OBJECTIFS    En cas de litige (courriel, signature, diffamation, pourriel, etc.)  Suspension des services  Conservation des données (eDiscovery) Le Fournisseur doit pouvoir conserver, isoler, éviter la destruction et collaborer pour démontrer l’authenticité et la fiabilité des données  Modification des services et du contrat  Limite de garantie et de responsabilité  Migration des données  Performance et fiabilité Aussi durant migration à la fin du contrat 42
  43. 43. LA PREUVE ÉLECTRONIQUE CHEZ GOOGLE E-discovery Option for Google Apps Prix: 5$/utilisateur/mois      Politique de conservation Gouvernance de l’information Archivage de courriels et chats Preuve électronique (recherche) Obligation de conservation (sursis de destruction)  Exportation  Audit 43
  44. 44. LA PREUVE ÉLECTRONIQUE CHEZ AMAZON 44
  45. 45. LA PREUVE ÉLECTRONIQUE CHEZ MICROSOFT 45
  46. 46. POINTS CRITIQUES ET OBJECTIFS  « … Les modifications spécifiques à une nouvelle fonctionnalité ou a un service ou les modifications apportées pour des raisons juridiques s’appliqueront immédiatement… »  Exiger un préavis (e.g. 30 jours)  Ne pouvant diminuer la nature, l’étendue ou la qualité des services   Suspension des services  Conservation des données (eDiscovery)  Modification des services et du contrat  Limite de garantie et de responsabilité  Migration des données  Performance et fiabilité Sinon, l’ancien contrat s’applique* ou cause de résiliation du contrat 46
  47. 47. POINTS CRITIQUES ET OBJECTIFS  Garantie limitée au niveau de service  Suspension des services  Obtenir garantie si violation PI de tiers + indemnisation si poursuite  Conservation des données (eDiscovery)   Modification des services et du contrat Plafond pour responsabilité (e.g. 12 mois de paiement ou 500$  Limite de garantie et de responsabilité  Dommages exclus (perte de données, revenus, interruption, etc.)  Migration des données  Performance et fiabilité  Sauf: faute lourde, négligence, contrefaçon de PI, violation sécurité, etc. 47
  48. 48. POINTS CRITIQUES ET OBJECTIFS  Prévoir scénario de migration à la fin du contrat  Suspension des services   Conservation des données (eDiscovery) Conservation des données durant migration (e.g. 90 jours)  Modification des services et du contrat  Prévoir remise des données sans condition, dans format prédéterminé (e.g. XML, CSV, ETL, etc.)  Limite de garantie et de responsabilité  Migration des données  Performance et fiabilité 48
  49. 49. POINTS CRITIQUES ET OBJECTIFS  Niveau mensuel de disponibilité  Suspension des services  Indisponibilité:  Conservation des données (eDiscovery)  99% = 14m/J – 7,5h/M – 88h/A  Modification des services et du contrat  99,9% = 1,5m/J – 44m/M – 9h/A  99,99% = 8s/J – 4,5m/M – 53m/A  Limite de garantie et de responsabilité  99,999% = 26s/M – 5m/A  Migration des données  Performance et fiabilité  Remède = crédit mensuel…  Définir paramètres de performance  Résiliation si défaut répété 49
  50. 50. Devriez-vous migrer vers le nuage? 50
  51. 51. RÉFLEXION       Le nuage est-il un modèle d’affaires arrivé à maturité ? Y a-t-il beaucoup de start-up au sein de compagnies d’envergure? Sommes-nous contraints à un modèle « one size fits all »? Sommes-nous contraints à un contrat « as is »? Pouvons-nous confier toutes nos données au nuage? Garder nos données critiques à l’interne ou utiliser un nuage privé? 51
  52. 52. CONCLUSION  Pour les PME, l’information est mieux protégée dans le nuage:       Plus de ressources consacrés à la sécurité L’information sensible n’est plus stockée sur des équipements vulnérables Vérifier les restrictions légales et réglementaires applicables Sauf exception, la juridiction est plus ou moins importante Ce qui compte, c’est l’exécution du contrat Gestion et tolérance au risque – Décision subjective! 52
  53. 53. CONCLUSION     Les révélations Snowden/NSA ont créée un électrochoc Gouvernements, entreprises et millions de personnes impliqués Un intrus demeure toujours un intrus, peu importe de qui il s’agit Mesures actuelles insuffisantes pour assurer la vie privée sur le Net   Voir: vod2.com/publication Croisée des chemins - Changement de paradigme s’impose…  Législatif, politique et technologique 53
  54. 54. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES : RÉALISME OU UTOPIE? René W. Vergé BROUILLETTE ET ASSOCIÉS 1 (514) 992-4271 rv@brouillette.ca “C’était beaucoup plus simple avant que les gens commencent à stocker leur données personnelles dans les nuages…” 54

×