Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Afcdp 2017 mesures de protection des dcpDenis VIROLE
Lors de l'Université des CIL AFCDP 2017, j'ai eu le plaisir d'animer un atelier "Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre"
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Afcdp 2017 mesures de protection des dcpDenis VIROLE
Lors de l'Université des CIL AFCDP 2017, j'ai eu le plaisir d'animer un atelier "Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre"
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
Toute organisation publique ou privée traitant d’informations relatives aux personnes doit respecter un certain nombre de règles concernant la collecte, l’utilisation, la divulgation et la conservation des données.
Au sommaire de ce webinar :
- Un rappel de vos obligations ;
- Les changements majeurs attendus avec la réforme de 2015 ;
- Comment se préparer pour renforcer votre business ?
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] Lorsque cela est proportionné au regard des activités de traitement, les mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement ». Devant cette responsabilité nouvelle, les organismes rencontrent souvent de réelles difficultés sur la formalisation de ces politiques. Dans quel cas sont-elles nécessaires ? Quel doit en être le contenu ? Quelles sont les populations cibles ? Le management, les directions métiers, la DSI, les MOA, les sous-traitants, voire les personnes concernées (clients ou usagers) ? Quelle interaction avec les politiques « Sécurité système d’information », avec les chartes, ou le règlement intérieur ? Comment garantir l’opposabilité du référentiel documentaire du DPO, sa conformité aux normes internationales et au RGPD
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
Interview de Pascal Alix, avocat et correspondant informatique et libertés, par le Moniteur sur les effets du RGPD dans le domaine des bâtiments connectés. Point rapide sur les grands principes et les impacts du RGPD dans le secteur du bâtiment et de la construction et piste pour une méthode.
Le concept de Privacy by Design a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.
Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement doivent offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! IoT est déjà très présent dans nos vies et nous n’avons encore rien vu : vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc
Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information.
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
Respectez vos obligations liées la gestion des données personnelles
Quelles sont les obligations et recommandations de la CNIL ?
Qui est concerné par ces obligations ?
Comment respecter ces obligations ?
Analyse d’impact : comment adapter la démarche au degré de maturité de mon entreprise ? – Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation
Un grand nombre d’entreprises ont traité les risques qui pèsent sur leurs systèmes d’information par l’application de règles et de bonnes pratiques mises en œuvre par les informaticiens de manière quasi auto justifiée. Mais ces derniers sont peu habitués à conduire une analyse de risque orientée « métiers », graduée selon une échelle définie et endossée au final par la direction générale. Le DPO ne va-t-il pas rencontrer plusieurs difficultés pour faire appliquer la bonne méthode par l’ensemble des parties prenantes ? Faut-il suivre la démarche proposée par la CNIL de manière exhaustive ou faut-il adapter la méthode à son contexte ? Quels sont les pièges à éviter ? Jusqu’à quel niveau faut-il pousser l’analyse ? Comment formaliser les règles de protection ? Comment présenter les résultats de l’analyse au Responsable du Traitement afin qu’il puisse la valider en toute connaissance de cause ? Quelle répartition des tâches entre les acteurs concernés ? Comment intégrer la démarche EIVP dans la gestion de projets de manière coordonnée ? Afin de proposer une démarche pragmatique, l’animateur modélisera plusieurs scenarii, adaptés à la maturité de l’organisme et au type de traitement.
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
RGPD : le grand défi pour protéger les données confidentielles : quelles conséquences pour les professionnels ?
Pour en savoir plus sur les destructeurs de documents professionnels, consultez notre site !
https://www.terface.com/destructeur-de-documents-13/
Réunion du club des utilisateurs de la solution Open Sytem en Aunis Marais Poitevin. Retrouvez le programme complet de nos accompagnements et plus d'info sur l'outil Open System sur notre site Pro : www.aunis-pro-tourisme.fr
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
Toute organisation publique ou privée traitant d’informations relatives aux personnes doit respecter un certain nombre de règles concernant la collecte, l’utilisation, la divulgation et la conservation des données.
Au sommaire de ce webinar :
- Un rappel de vos obligations ;
- Les changements majeurs attendus avec la réforme de 2015 ;
- Comment se préparer pour renforcer votre business ?
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] Lorsque cela est proportionné au regard des activités de traitement, les mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement ». Devant cette responsabilité nouvelle, les organismes rencontrent souvent de réelles difficultés sur la formalisation de ces politiques. Dans quel cas sont-elles nécessaires ? Quel doit en être le contenu ? Quelles sont les populations cibles ? Le management, les directions métiers, la DSI, les MOA, les sous-traitants, voire les personnes concernées (clients ou usagers) ? Quelle interaction avec les politiques « Sécurité système d’information », avec les chartes, ou le règlement intérieur ? Comment garantir l’opposabilité du référentiel documentaire du DPO, sa conformité aux normes internationales et au RGPD
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
Interview de Pascal Alix, avocat et correspondant informatique et libertés, par le Moniteur sur les effets du RGPD dans le domaine des bâtiments connectés. Point rapide sur les grands principes et les impacts du RGPD dans le secteur du bâtiment et de la construction et piste pour une méthode.
Le concept de Privacy by Design a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.
Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement doivent offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! IoT est déjà très présent dans nos vies et nous n’avons encore rien vu : vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc
Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information.
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
Respectez vos obligations liées la gestion des données personnelles
Quelles sont les obligations et recommandations de la CNIL ?
Qui est concerné par ces obligations ?
Comment respecter ces obligations ?
Analyse d’impact : comment adapter la démarche au degré de maturité de mon entreprise ? – Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation
Un grand nombre d’entreprises ont traité les risques qui pèsent sur leurs systèmes d’information par l’application de règles et de bonnes pratiques mises en œuvre par les informaticiens de manière quasi auto justifiée. Mais ces derniers sont peu habitués à conduire une analyse de risque orientée « métiers », graduée selon une échelle définie et endossée au final par la direction générale. Le DPO ne va-t-il pas rencontrer plusieurs difficultés pour faire appliquer la bonne méthode par l’ensemble des parties prenantes ? Faut-il suivre la démarche proposée par la CNIL de manière exhaustive ou faut-il adapter la méthode à son contexte ? Quels sont les pièges à éviter ? Jusqu’à quel niveau faut-il pousser l’analyse ? Comment formaliser les règles de protection ? Comment présenter les résultats de l’analyse au Responsable du Traitement afin qu’il puisse la valider en toute connaissance de cause ? Quelle répartition des tâches entre les acteurs concernés ? Comment intégrer la démarche EIVP dans la gestion de projets de manière coordonnée ? Afin de proposer une démarche pragmatique, l’animateur modélisera plusieurs scenarii, adaptés à la maturité de l’organisme et au type de traitement.
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
RGPD : le grand défi pour protéger les données confidentielles : quelles conséquences pour les professionnels ?
Pour en savoir plus sur les destructeurs de documents professionnels, consultez notre site !
https://www.terface.com/destructeur-de-documents-13/
Réunion du club des utilisateurs de la solution Open Sytem en Aunis Marais Poitevin. Retrouvez le programme complet de nos accompagnements et plus d'info sur l'outil Open System sur notre site Pro : www.aunis-pro-tourisme.fr
RGPD en pratique : notions clefs et bons réflexesCap'Com
L’entrée en vigueur, en mai 2018, du Règlement général pour la protection des données n’est pas sans impact pour le quotidien des communicants. La quasi-totalité des outils sont en effet soumis au RGPD : réseaux sociaux, sites web, bases de données, sms, communiqués de presse, etc.
Concrètement, quelles sont les préoccupations prioritaires à avoir ? Par où commencer et comment planifier les principales étapes de la mise en conformité ? Quelles opportunités pour les communicants publics ?
Intervenante : Alice de la Mure, juriste au service des délégués à la protection des données, CNIL
Une conférence animée par Cyrille Lavizzari, formatrice et consultante
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
Ce webinar s’adresse à tous à tous ceux qui les sous-traitants qui sont concernés par le RGPD : prestataires de services informatiques, intégrateurs de logiciels sociétés de sécurité informatique, agences de marketing ou de communication, ...
Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fev...Cluster TWEED
La réglementation NIS porte sur la protection des réseaux et systèmes d'information des infrastructures essentielles et importantes. A partir d'octobre 2024, la directive NIS2 remplacera la précédente directive NIS1. La nouvelle réglementation concerne davantage de secteurs, élargit le scope au "supply chain", exige des mesures de sécurité plus détaillées et prévoit des sanctions plus strictes aux entreprises concernées qui ne s'y conforment pas.
L'objectif de ce webinaire, organisé en collaboration avec l'Infopole, était d'analyser plus en détails les changements apportés par NIS2 et d'apporter des éclaircissements, tant sur les aspects légaux que pratiques pour sa mise en oeuvre au sein des entreprises.
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
Quelles sont les priorités dans la sauvegarde des données ? Le point sur les responsabilités du dirigeant, les solutions disponibles pour permettre une récupération des données rapide et efficace en cas de problème.
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
Quelles sont les priorités dans la sauvegarde des données ? Le point sur les responsabilités du dirigeant, les solutions disponibles pour permettre une récupération des données rapide et efficace en cas de problème.
Contrat SaaS en matière de cloud computing par Sybille PECHENART, Avocate au Barreau de Marseille spécialisée en Droit informatique. Son cabinet intervient autant dans le domaine du conseil que dans le domaine contentieux. Créateur d’économies et de mobilité, le cloud computing répond à des besoins informatiques tant matériels que logiciels mais est aussi source de risques opérationnels et juridiques. La confidentialité, la disponibilité et la sécurité des données et des applications mises en ligne doivent être encadrées par des clauses contractuelles intégrant les particularités de chaque activité dont le « Software as a Service » (fourniture de logiciel en ligne).
Cybersécurité & protection des données personnellesMohamed MDELLA
L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing
Utilité et limites de l'enquête numérique judiciaire dans le contexte anti-co...PECB
This presentation was delivered by Loic Bernard, Expert in cyber investigation & digital forensics at Enquêtes Forensik, at the ISO 37001 & Anti-Bribery PECB Insights Conference.
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
Capital Games organise une conférence le mercredi 22 mai, de 9h à 17h au Centre de Conférences de Microsoft, à Issy-les-Moulineaux. Elle permettra aux professionnels du jeu vidéo de monter en compétences sur les nouvelles méthodes de production de jeux connectés, parmi lesquelles l'analyse de données.
Présentation du cabinet Altana sur la Réglementation des données.
Réglementation européenne pour la protection des données personnelles (RGPD)
Présentation de Florence Eon dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
A 1 an de l'entrée en application du Règlement Général sur la Protection des Données, Sia Partners vous accompagne dans le cadrage de votre projet de mise en conformité.
L'Impact du Règlement Général sur la Protection des Données personnelles (RGPD) sur les Sociétés Africaines
Nacima LAMACHI-ELKILANI ACSS
Avocat IP/IT Europe-Afrique Data Protection Officier
Similaire à Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé) (20)
Le concept d’innovation systématique développé à l’origine pour les produits est aussi pertinent pour l’industrie des services.
Les innovations récemment observées dans le domaine de la GIA cadrent parfaitement avec les principes innovants de TRIZ.
Les incidents coûtent de plus en plus chers à traiter. Les organisations répondent souvent à cela par une augmentation des solutions technologiques (Cloud, Big Data, externalisation, outil de balayage, etc.) sans forcement mettre l’emphase sur le volet processus et le volet humain. Le résultat, on le connaît : beaucoup de technologies avec peu de résultat en cas d’incident, délai de traitement des incidents défoncés (SLA), etc.
Le but cette présentation est de comprendre le processus de gestion des incidents selon COBIT5 de l’ISACA. La présentation consistera à regarder la gestion des incidents de long en large (vision 365º) – volet conceptuel et volet opérationnel.
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
Les audits des contrôles de sociétés de services
SOC I – SOC II – SOC III
Par M. David Liberatore – Directeur vérification TI, Deloitte
le 31 mars 2015, ISACA-Québec
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Déploiement d'une infrastructure à clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
MISE EN PLACE D’UNE INFRASTRUCTURE À CLÉS PUBLIQUES (ICP) ENJEUX ET CONFORMITÉ
UNE VISION PRATIQUE
par HECTOR SZABO et THOMAS PORNIN
le 31 mars 2015, ISACA-Québec
ISACA Québec : Conférence
Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.
Nouveau cadre de gouvernance de la sécurité de l’information.
Présenté à ISACA-Québec par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information,
Direction de l’encadrement de la sécurité de l’information.
Nouveau cadre de gouvernance de la sécurité de l'information présenté par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information, Direction de l’encadrement de la sécurité de l’information.
Nouveau cadre de gouvernance de la sécurité de l'information
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie? (René Vergé)
1. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION
DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé, ll.b., cissp, cisa, cipp/c
12 février 2014
www.isaca-quebec.ca
2. OBJECTIF ET AGENDA
Objectif
Aspects légaux, pratiques courantes et les tendances de l’infonuagique.
Agenda
Qu’est-ce que l’infonuagique?
L’infonuagique est-elle inévitable?
Droits, obligations et risques
Qui utilise l’infonuagique?
Le contrat d’infonuagique
Devriez-vous migrer vers le nuage?
2
4. QU’EST-CE QUE L’INFONUAGIQUE?
“… Modèle permettant un accès pratique et sur demande à
un ensemble de ressources informatiques partagées et
configurables (e.g., réseaux, serveurs, stockage, applications
et services), qui peuvent être rapidement mises en
opération, avec un minimum d’effort de la part du client ou
d’interaction de la part du fournisseur du nuage.” – NIST
4
5. QU’EST-CE QUE L’INFONUAGIQUE?
“… prestation sur Internet de ressources informatiques à la
demande (ce qui englobe un peu de tout, des applications
aux centres informatiques) selon un modèle de paiement à
l’utilisation.” – IBM
5
7. QU’EST-CE QUE L’INFONUAGIQUE?
“… une forme particulière de gérance de l'informatique…
l'emplacement des données n‘étant pas porté à la
connaissance des clients.” – Commission générale de
terminologie et de néologie (France)
7
8. QU’EST-CE QUE L’INFONUAGIQUE?
“Modèle informatique qui, par l'entremise de serveurs
distants interconnectés par Internet, permet un accès
réseau, à la demande, à un bassin partagé de ressources
informatiques configurables, externalisées et non
localisables, qui sont proposées sous forme de services,
évolutifs, adaptables dynamiquement et facturés à
l'utilisation.” – OQLF (Québec)
8
23. DROITS ET OBLIGATIONS
Loi sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels (Prov./Publ.), art. 70.1.
Loi sur la protection des renseignements personnels dans le secteur privé
(Prov./Priv.), art. 8, 17.
Loi sur la protection des renseignements personnels (Féd./Publ.)
Loi sur l’accès à l’information (Féd./Publ.)
Loi sur la protection des renseignements personnels et les documents
électroniques (Féd./Priv.), princ. 4.13, 4.7.1.
Loi concernant le cadre juridique
(Prov./Publ./Priv.), art. 19, 25, 26, 34.
des
technologies
de
l'information
23
24. LES GRANDS PRINCIPES
Ces lois n’interdisent pas le transfert de RP
Mesures « raisonnables » pour assurer une protection équivalente
Révision du régime applicable
Encadrement contractuel du fournisseur
24
25. LES GRANDS PRINCIPES
Consentement (RP)
Sécurité (C.I.D.)
Responsabilité du fournisseur
Responsabilité des tiers
Neutralité juridique
Intégrité présumée
Protection équivalente (RP transmis à des tiers)
Équivalence des mesures vs. les lois
Informer si RP confiés à des tiers
25
26. PATRIOT ACT, FISA, LA, LSCRS, LEJMC, NSA…
Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism
Foreign Intelligence Surveillance Act
Loi Antiterroriste
Loi sur le Service Canadien du Renseignement de Sécurité
Loi sur l’Entraide Juridique en Matière Criminelle
NSA, CSCT, GCHQ, DGSE, etc.
Pétard mouillé ou trahison du monde?
26
27. RISQUES DE L’INFONUAGIQUE
Surveillance et compilation
Perte de contrôle, effacement et retour des données
Sous-traitance à des tiers
Protection inférieure et divulgation sans consentement
Accès pour des besoins techniques et modèle d’affaires
Contrat standard en faveur du fournisseur
Hébergement multi-locataires
Juridiction(s) applicable(s) et contraintes légales
27
28. LES FREINS À L’ADOPTION DE L’INFONUAGIQUE
*Cloud Computing Magazine 2013: cloud-adoption-exceeding-expectations-new-global-study-finds
28
34. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Suspension des services
Propriété des données
Conservation des données (eDiscovery)
Localisation des données
Modification des services et du contrat
Divulgation
Limite de garantie et de responsabilité
Notification d’incident
Migration des données
Activités des utilisateurs
Performance et fiabilité
34
35. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … Nous utiliserons les mesures techniques et
opérationnelles raisonnables décrites dans la
présentation de sécurité applicable au service en
ligne… ».
ISO-2700x, SSAE 16, CSAE 3416, IAS 3402
Sécurité physique et logique
Plan de continuité et de recouvrement
Sauvegarde et site redondant
Chiffrement en transit et au repos*
Ségrégation des données sensibles
Maintenir certifications et audits
Transmettre annuellement + plan d’action
Aucune dégradation significative durant entente
35
36. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Tout appartient au client
Propriété des données
Usage limité pour fournir le service
Localisation des données
+ dépannage et améliorations
Divulgation
Propriété sur données secondaires
Notification d’incident
Aucun profilage publicitaire
Activités des utilisateurs
36
37. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Souvent un manque de précision
Propriété des données
Enjeu fondamental pour la PRP*
Localisation des données
Protection équivalente à la loi QC…
Divulgation
Considérer exigences réglementaires
Notification d’incident
Activités des utilisateurs
Aviser les personnes (données hébergées
à l’étranger, soumises aux lois locales,
accessibles par autorités…)
37
38. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … En cas d’obligation de divulgation,
nous ferons tout notre possible pour vous
aviser à l’avance sauf si interdit par la
loi… »
Exiger que le fournisseur requiert un
mandat ou un subpoena pour divulguer
Exiger un préavis, permettant de
contester, avant toute divulgation
Exception si la loi locale interdit la
divulgation
38
39. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
Fournisseur doit aviser rapidement
(surtout si RP), obtenir engagement
Définir ce qui constitue un incident (vol,
accès non autorisé, divulgation,
reproduction, modification, destruction…)
Prévoir rapport (circonstance, données,
auteurs, actions pour minimiser le
dommage et restaurer, etc.)
39
40. POINTS CRITIQUES ET OBJECTIFS
Sécurité des données
Propriété des données
Localisation des données
Divulgation
Notification d’incident
Activités des utilisateurs
« … Le Client est responsable de toutes
les activités des utilisateurs finaux sur
leur compte, de toute transaction avec
un tiers lié à un compte et de toute
violation de propriété intellectuelle d’un
tiers associée aux données hébergées… »
Problématique en cas de tiers utilisateurs
Imposer directement les conditions aux
tiers utilisateurs, ou le Client prendra
mesures raisonnables pour les informer
40
41. POINTS CRITIQUES ET OBJECTIFS
« … Nous pouvons interrompre un
service et supprimer vos données si
votre utilisation représente une
menace pour le fonctionnement ou
l’intégrité du réseau, ou si le motif
de la suspension n’est pas remédié
dans les 30 jours… »
Suspension des services
Conservation des données (eDiscovery)
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Obtenir que le client soit le premier
intervenant pour suspendre
Performance et fiabilité
Fournisseur peut intervenir si
négligence du client ou urgence
41
42. POINTS CRITIQUES ET OBJECTIFS
En cas de litige (courriel, signature,
diffamation, pourriel, etc.)
Suspension des services
Conservation des données (eDiscovery)
Le Fournisseur doit pouvoir
conserver, isoler, éviter la destruction
et collaborer pour démontrer
l’authenticité et la fiabilité des
données
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
Aussi durant migration à la fin du
contrat
42
43. LA PREUVE ÉLECTRONIQUE CHEZ GOOGLE
E-discovery Option for Google Apps
Prix: 5$/utilisateur/mois
Politique de conservation
Gouvernance de l’information
Archivage de courriels et chats
Preuve électronique (recherche)
Obligation de conservation
(sursis de destruction)
Exportation
Audit
43
46. POINTS CRITIQUES ET OBJECTIFS
« … Les modifications spécifiques à
une nouvelle fonctionnalité ou a un
service ou les modifications
apportées pour des raisons
juridiques s’appliqueront
immédiatement… »
Exiger un préavis (e.g. 30 jours)
Ne pouvant diminuer la nature,
l’étendue ou la qualité des services
Suspension des services
Conservation des données (eDiscovery)
Modification des services et du contrat
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
Sinon, l’ancien contrat s’applique* ou
cause de résiliation du contrat
46
47. POINTS CRITIQUES ET OBJECTIFS
Garantie limitée au niveau de service
Suspension des services
Obtenir garantie si violation PI de
tiers + indemnisation si poursuite
Conservation des données (eDiscovery)
Modification des services et du contrat
Plafond pour responsabilité (e.g. 12
mois de paiement ou 500$
Limite de garantie et de responsabilité
Dommages exclus (perte de
données, revenus, interruption, etc.)
Migration des données
Performance et fiabilité
Sauf: faute lourde, négligence,
contrefaçon de PI, violation sécurité,
etc.
47
48. POINTS CRITIQUES ET OBJECTIFS
Prévoir scénario de migration à la fin
du contrat
Suspension des services
Conservation des données (eDiscovery)
Conservation des données durant
migration (e.g. 90 jours)
Modification des services et du contrat
Prévoir remise des données sans
condition, dans format prédéterminé
(e.g. XML, CSV, ETL, etc.)
Limite de garantie et de responsabilité
Migration des données
Performance et fiabilité
48
49. POINTS CRITIQUES ET OBJECTIFS
Niveau mensuel de disponibilité
Suspension des services
Indisponibilité:
Conservation des données (eDiscovery)
99% = 14m/J – 7,5h/M – 88h/A
Modification des services et du contrat
99,9% = 1,5m/J – 44m/M – 9h/A
99,99% = 8s/J – 4,5m/M – 53m/A
Limite de garantie et de responsabilité
99,999% = 26s/M – 5m/A
Migration des données
Performance et fiabilité
Remède = crédit mensuel…
Définir paramètres de performance
Résiliation si défaut répété
49
51. RÉFLEXION
Le nuage est-il un modèle d’affaires arrivé à maturité ?
Y a-t-il beaucoup de start-up au sein de compagnies d’envergure?
Sommes-nous contraints à un modèle « one size fits all »?
Sommes-nous contraints à un contrat « as is »?
Pouvons-nous confier toutes nos données au nuage?
Garder nos données critiques à l’interne ou utiliser un nuage privé?
51
52. CONCLUSION
Pour les PME, l’information est mieux protégée dans le nuage:
Plus de ressources consacrés à la sécurité
L’information sensible n’est plus stockée sur des équipements vulnérables
Vérifier les restrictions légales et réglementaires applicables
Sauf exception, la juridiction est plus ou moins importante
Ce qui compte, c’est l’exécution du contrat
Gestion et tolérance au risque – Décision subjective!
52
53. CONCLUSION
Les révélations Snowden/NSA ont créée un électrochoc
Gouvernements, entreprises et millions de personnes impliqués
Un intrus demeure toujours un intrus, peu importe de qui il s’agit
Mesures actuelles insuffisantes pour assurer la vie privée sur le Net
Voir: vod2.com/publication
Croisée des chemins - Changement de paradigme s’impose…
Législatif, politique et technologique
53
54. VIE PRIVÉE ET SÉCURITÉ DE L'INFORMATION DANS LES NUAGES :
RÉALISME OU UTOPIE?
René W. Vergé
BROUILLETTE ET ASSOCIÉS
1 (514) 992-4271
rv@brouillette.ca
“C’était beaucoup plus simple avant que les gens commencent à
stocker leur données personnelles dans les nuages…”
54