Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
2. Selexion/ADMA
Biographies
Me René Vergé, LL.B, CIPP/C, CISSP, CISA
Brouillette & Associés
Me René Vergé est avocat-conseil en droit du cyberespace, des technologies
de l'information, de la propriété intellectuelle, de la vie privée et de la
sécurité de l'information.
En 2007, il a fondé e-Risk, le premier cabinet multidisciplinaire québécois
spécialisé en droit du cyberespace, technologies, gestion de risques, vie
privée et sécurité de l'information.
Précédemment, Me Vergé a occupé les postes de vice-président et de
directeur pour de grandes entreprises en services-conseils d’affaires et en
technologies de l'information, où il a mis sur pied et a été responsable des
pratiques en gouvernance, gestion de risques, conformité et sécurité de
l’information.
2
3. Selexion/ADMA
Le contenu de la présente présentation ne
reflète pas nécessairement la position officielle de
l’Ordre des administrateurs agréés du Québec ni
celle de Selexion.ca. Les formateurs sont seuls
responsables des informations qui y figurent et
des opinions qui y sont exprimées.
3
4. Selexion/ADMA
Vie privée et confidentialité de
l’information dans les nuages:
Utopique ou réalisable?
Me René Vergé
4
5. Selexion/ADMA
Plan de la présentation
Qu’est-ce que l’infonuagique?
Serveurs
• Google…
• Microsoft…
• Amazon…
L’infonuagique est-elle inévitable?
• Croissance de l’infonuagique
• Stockage infonuagique: consommateur
• Infonuagique: marché affaires
• Croissance des données
Droits, obligations et risques
• Les grands principes
• Risques de l’infonuagique
5
6. Selexion/ADMA
Plan de la présentation (suite)
Organisations qui utilisent le nuage
• Google
• Amazon
• Microsoft
La preuve électronique dans le nuage Google
Devriez-vous migrer vers le nuage?
Conclusion
6
7. Selexion/ADMA
Qu’est-ce que l’infonuagique?
“… Modèle permettant un accès pratique et sur
demande à un ensemble de ressources informatiques
partagées et configurables (e.g., réseaux, serveurs,
stockage, applications et services), qui peuvent être
rapidement mises en opération, avec un minimum
d’effort de la part du client ou d’interaction de la part
du fournisseur du nuage.” – NIST
7
8. Selexion/ADMA
Qu’est-ce que l’infonuagique?
“… prestation sur Internet de ressources
informatiques à la demande (ce qui englobe un peu
de tout, des applications aux centres informatiques)
selon un modèle de paiement à l’utilisation.” – IBM
8
10. Selexion/ADMA
Qu’est-ce que l’infonuagique?
“… une forme particulière de gérance de
l'informatique… l'emplacement des données n‘étant
pas porté à la connaissance des clients.” -
Commission générale de terminologie et de
néologie (France)
10
11. Selexion/ADMA
Qu’est-ce que l’infonuagique?
“Modèle informatique qui, par l'entremise de
serveurs distants interconnectés par Internet, permet
un accès réseau, à la demande, à un bassin partagé
de ressources informatiques configurables,
externalisées et non localisables, qui sont proposées
sous forme de services, évolutifs, adaptables
dynamiquement et facturés à l'utilisation.” - OQLF
11
17. Selexion/ADMA
Croissance de l’infonuagique
Dépenses totales de 280G$ de 2011 à
2016
Croissance annuelle de 27 à 32 %
50% des nouvelles dépenses TI d’ici 2015
65% de la charge TI d’ici 2015
SaaS = la plus grosse charge TI
(applications d’affaires, réseaux sociaux,
solutions mobiles, etc.)
De mieux, plus vite et moins cher, vers une
transformation de l’entreprise
*Sources: Saugatuck Technologies,
Market Intel Group, Standard and Poors
17
*The Future of Virtualization, Cloud
Computing & Green IT – Global
Technologies & Markets Outlook –
2011-2016
18. Selexion/ADMA
0
200
400
600
800
1000
1200
1400
1 2 3 4 5 6
Stockage infonuagique:
consommateur
18
Worldwide Forecast of Personal Cloud Storage Subscriptions
(Millions of Users)
2012 2013 2014 2015 2016 2017
1400
1200
1000
800
600
400
200
0
Source: HIS iSuppli Research, September 2012
23. Selexion/ADMA
Droits et obligations
Loi sur l’accès aux documents des organismes publics et sur la protection
des renseignements personnels (Prov./Publ.)
Loi sur la protection des renseignements personnels dans le secteur privé
(Prov./Priv.)
Loi sur la protection des renseignements personnels (Féd./Publ.)
Loi sur l’accès à l’information (Féd./Publ.)
Loi sur la protection des renseignements personnels et les documents
électroniques (Féd./Priv.)
Loi concernant le cadre juridique des technologies de l'information
(Prov./Publ./Priv.)
Charte canadienne des droits et libertés (Féd./Publ./Priv.)
Charte des droits et libertés de la personne (Prov./Publ./Priv.)
Code civil du Québec (Prov./Publ./Priv.)
23
24. Selexion/ADMA
Les grands principes
Consentement pour communication des RP à des tiers
Assurer la sécurité des documents/RP (C.I.D.)
Responsabilité légale de celui qui reçoit les documents/RP
Responsabilité contractuelle des tiers qui les reçoivent
Neutralité: écrit = preuve, peu importe le support
Intégrité présumée (supports, procédés, systèmes, etc.)
Protection équivalente requise si RP confiés à des tiers
Équivalence des mesures de sécurité, pas nécessairement des lois
applicables dans la juridiction
Informer les personnes concernées si RP confiés à des tiers
24
25. Selexion/ADMA
Risques de l’infonuagique
1. Surveillance et compilation par le fournisseur et les autorités d’une
quantité énorme de données et de transactions
2. Perte de contrôle, effacement et retour des données
3. L’information est confiée à des tiers qui n’ont pas de lien direct avec
l’utilisateur ou l’organisation
4. Transfert d’information à des tiers = protection inférieure contre les
accès et la divulgation sans consentement
5. Accès à l’information par le fournisseur et ses sous-traitants, selon les
besoins techniques et le modèle d’affaires
6. Juridiction(s) et contraintes légales découlant de l’emplacement des
données (e.g. Allemagne, Colombie-Britanique, Nouvelle-Écosse…)
25
30. Selexion/ADMA
La preuve électronique
dans le nuage Google
Le 28 mars 2012:
“Google Launches E-discovery Option for Apps Suite”
30
Prix: 5$/utilisateur/mois
Politique de conservation
Gouvernance de l’information
Archivage de courriels et chats
Preuve électronique (recherche)
Obligation de conservation
(sursis de destruction)
Exportation
Audit
32. Selexion/ADMA
Conclusion 1
En général, pour les petites et certaines moyennes
entreprises, l’information est mieux protégée dans le nuage
• Plus de ressources sont consacrés à la sécurité
• Les utilisateurs n’ont plus à transporter d’information sensibles sur des
équipements vulnérables
Vérifier les restrictions légales et réglementaires applicables
Sauf exception, la juridiction est plus ou moins importante
Ce qui compte, en fin de compte, c’est l’exécution du contrat,
ce qui peut s’avérer problématique dans certains cas
Gestion du risque – décision subjective
32
33. Selexion/ADMA
Conclusion 2
Les révélations Snowden/PRISM/NSA: électrochoc mondial
pour l’infonuagique, la vie privée, la sécurité et plus…
Les gouvernements, les grandes entreprises du net et des
millions de personnes sont impliqués
Quand on parle de sécurité, un intrus demeure toujours un
intrus, peu importe de qui il s’agit
Les mesures de sécurité actuelles sont insuffisantes pour
assurer la vie privée et la sécurité sur Internet
• Voir: vod2.com/publication
Nous sommes à la croisée des chemins - un changement de
paradigme s’impose…
33
34. Selexion/ADMA
Me René Vergé
BROUILLETTE & ASSOCIÉS,
S .E .N .C .R .L .
1.514.992.4271
Courriel: rv@brouillette.ca
34
“C’était beaucoup plus simple avant que les gens
commencent à stocker leur données
personnelles dans les nuages…”
35. 1,5 heure
Cette formation sera automatiquement
inscrite dans votre dossier de formation continue ADMA,
dès que vous aurez répondu au questionnaire.
36. Questions ?Vous êtes invité à poser vos questions
via Capital ADMA via le forum de discussion.
Les formateurs se feront un plaisir d’y répondre.
37. MerciNous souhaitons que ce mode d’apprentissage vous ait plu. Nous vous invitons
à nous faire part de tout commentaire pouvant nous aider à améliorer les
webinaires, en remplissant le formulaire d’évaluation dans la section “sondage”
via Capital ADMA.