Conformité : attention aux pièges du stockage en cloud
Cet article passe en revue les principaux pièges de conformité que présente le stockage en cloud. La responsabilité qu’il faut partager, avec les fournisseurs cloud, et la localisation des données figurent aux premiers rangs.
Depuis la crise pandémique liée au Covid-19, le respect des lois sur la protection des données n’a probablement pas figuré au rang des priorités de nombre d’entreprises. Les entreprises ayant dû en hâte mettre en place des opérations à distance et basculer vers le télétravail, un recours intensif au cloud leur a servi dans une certaine mesure à déplacer leurs obligations réglementaires vers les prestataires de services en ligne.
Pour autant, l’excuse de dire que le prestataire porte toute la responsabilité n’est pas valable auprès des autorités. Au regard des réglementations en vigueur dans le traitement des données, les entreprises clientes portent la responsabilité de vérifier que leurs prestataires cloud répondent aux obligations nationales. Et attention : cela s’applique aussi aux hébergeurs de cloud situés au Royaume-Uni qui, même après le Brexit, sont toujours censés respecter les réglementations européennes.
En outre, les entreprises doivent se plier aussi à de nouvelles réglementations ainsi qu’aux mises à jour des précédentes, dont la nouvelle norme PCI-DSS 4.0 sortie en 2022. C’est-à-dire qu’il convient de vérifier que le fournisseur de services en cloud est à jour.
Le passage au cloud étant appelé à se développer – le groupe IDC évalue à 1 350 milliards de dollars les dépenses informatiques en jeu d’ici à 2025 – les entreprises doivent s’assurer de disposer des mesures de protection qui garantissent la sécurité et la confidentialité des données.
Les directeurs informatiques seraient donc bien avisés de profiter des prochains mois pour revoir leurs modèles de conformité cloud. Voici quelques points importants à prendre en compte.
Le RGPD et le Data Protection Act (loi sur la protection des données)
Les réglementations européennes sont devenues, sinon une norme de facto, un modèle pour les lois sur la protection des données des autres pays. Par exemple, bien que le Royaume-Uni soit sorti de l’Union européenne, le règlement général sur la protection des données (RGPD) de l’UE est intégré au droit britannique en vertu du Data Protection Act 2018 (loi sur la protection des données).
Le RGPD fixe les règles à suivre quant au traitement des données, y compris lorsque cette opération est assurée par des tiers. Comme le souligne Mathieu Gorge, PDG de Vigitrust, cabinet spécialisé dans la confidentialité, le recours au cloud sous-entend automatiquement que les données sont confiées à un tiers.
« En vertu du RGPD, le fournisseur cloud devient un processeur de données et vous agissez comme contrôleur de données. »
Mathieu GorgePDG, Vigitrust
« En vertu du RGPD, le fournisseur cloud devient un processeur de données et vous agissez comme contrôleur de données », explique-t-il. « Vous devez vous assurer que le processeur de données garantit un niveau de sécurité correspondant à minima au vôtre. Vous devez en outre dresser l’inventaire de vos flux de données pour en garantir l’adéquation, et procéder à une analyse d’impact sur la confidentialité. »
Et les prestataires de cloud situés au Royaume-Uni, une région très utilisée pour héberger les applications du reste de l’Europe, n’auront aucun intérêt à déroger à la règle. Rappelons qu’avant le Brexit, c’est au Royaume-Uni que certaines des amendes les plus lourdes concernant la protection des données ont été infligées. Depuis lors, elles ont été largement dépassées par les sanctions des régulateurs irlandais et belges. Selon Mathieu Gorge de Vigitrust, l’Information Commissioner’s Office souhaite montrer qu’il a encore le pouvoir d’infliger de lourdes amendes, même après le Brexit.
PCI-DSS et PCI DSS 4.0
La norme de sécurité des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard) n’est pas une obligation légale en soi, même si les experts de la protection des données recommandent vivement de la considérer comme telle. Le Conseil des normes de sécurité PCI (PCI Security Standards Council) a publié une version finale de la norme PCI DSS v4.0 en mars 2022.
Toutefois, en vertu de dispositions transitoires, la version actuelle de la PCI DSS (v3.2.1) restera en vigueur pendant 18 mois à compter de la publication de toute la documentation relative à la version 4.0. Et, selon le Conseil des normes de sécurité PCI, de nouvelles exigences pourraient voir le jour ultérieurement.
La période transitoire pour ces obligations à venir n’est pas encore connue, mais pourrait être de deux ans et demi à trois ans, après la publication de la version v4.0, ce qui repousse la période de mise en œuvre de la PCI DSS définitive jusqu’à 2025. Toutefois, compte tenu de l’impact potentiel de la norme sur les organisations, les directeurs informatiques, les responsables de la sécurité des systèmes d’information et les contrôleurs de données devraient dès à présent s’assurer de la conformité avec la norme existante.
« Une carte de paiement, outre son numéro, s’accompagne souvent de données personnelles, telles que l’adresse du domicile et le nom complet du titulaire. Autrement dit, une violation de ces données constitue un non-respect de la PCI DSS, mais aussi du RGPD ; deux infractions donnant lieu à de lourdes pénalités financières », avertit Craig Tunstall, spécialiste du cloud chez HeleCloud
Directive NIS (Network and Information System Security)
À l’instar du RGPD, la directive NIS (Network and Information System Security) est une réglementation européenne qui est aussi inscrite dans la loi britannique. Bien que la directive soit moins connue que le RGPD, elle prévoit des exigences strictes. Les fournisseurs de services numériques, y compris les fournisseurs de service cloud, doivent mettre en place des mesures de sécurité visant à empêcher la compromission et la violation des données. S’ils font l’objet d’une attaque, ils doivent en informer l’ICO (Information Commissioner’s Office) dans les 72 heures.
La directive NIS a toutefois été révisée depuis que le Royaume-Uni a quitté l’Union européenne. La législation porte sur deux groupes d’organisations : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), dits compétents en vertu du caractère critique de leur service vis-à-vis de l’infrastructure nationale.
Phil Robinson, fondateur et principal consultant de Prism Infosec, société de conseils en cybersécurité, explique que lorsque les données sont traitées dans le cloud, les entreprises déclarées comme OSE et FSN doivent signaler tout incident de sécurité à l’ICO.
Responsabilités partagées
Les entreprises utilisant le cloud doivent bien comprendre qu’elles partagent la responsabilité de la protection, de la confidentialité et de la sécurité des données avec leurs fournisseurs. Ces obligations ne découlent pas d’un seul et unique texte de loi, mais reprennent plutôt les principes fondamentaux du RGPD, de la directive NIS et de toutes les autres règles de protection des données.
Pour l’essentiel, cela signifie que les entreprises restent toujours responsables de leurs données, même en cas de stockage ou de traitement par un tiers. Il peut s’agir de services dans le cloud, tels qu’AWS, de suites de productivité, comme Office365, voire de services de partage de fichiers grand public, comme Dropbox.
En raison de la diversité des services cloud utilisés actuellement, les entreprises doivent s’assurer que l’infrastructure en place respecte la sensibilité et les obligations réglementaires liées à leur charge de travail ou processus métier.
Comme le souligne Craig Tunstall de HeleCloud, les RSSI ne peuvent pas garantir, par exemple, la conformité d’un workflow PCI DSS par le simple fait qu’il s’exécute sur l’infrastructure cloud (conforme PCI DSS) d’AWS.
« Si vous voulez garantir une conformité réglementaire [...], il vous faut comprendre le modèle de responsabilité partagée de votre fournisseur de services cloud et le service spécifique que vous utilisez. »
Craig TunstallSpécialiste du cloud, HeleCloud
« Si vous voulez garantir une conformité réglementaire en cas de stockage des données dans le cloud, il vous faut comprendre le modèle de responsabilité partagée de votre fournisseur de services cloud et le service spécifique que vous utilisez », précise-t-il.
Résidence des données, Brexit et adéquation
Les organisations doivent à tout moment savoir où sont leurs données. À l’époque où le matériel de stockage se trouvait sur site, tout était simple : les données se trouvaient dans la salle informatique, dans le datacenter ou dans un service de colocation. Leur transfert était très rare (en cas de reprise après incident majeur, par exemple).
Par la nature même du cloud, chacun sait que les données peuvent se trouver n’importe où dans le monde et que les technologies comme le stockage objet permettent même de répartir un seul fichier sur plusieurs sites. Les hyperscalers (AWS, Azure, GCP...) offrent tous un stockage propre à une région et donnent la possibilité de verrouiller les données dans une zone géographique.
Cela étant dit, rien n’est garanti pour les services cloud de moindre envergure ou les services tiers qui s’exécutent sur d’autres infrastructures de cloud public. Après le Brexit, le Royaume-Uni bénéficie d’une décision d’adéquation à son égard permettant de stocker les données dans l’UE, sachant que les restrictions du RGPD s’appliquent aux données provenant de l’Espace économique européen vers le Royaume-Uni.
Les entreprises transférant des données en dehors de l’Espace économique européen, des États-Unis et de l’Australie doivent prouver que les lois sur la protection des données suffisent pour se conformer à la DPA, qu’elles ont l’accord de la personne concernée et qu’elles respectent les lois locales en vigueur (comme la loi chinoise sur la protection des informations personnelles).
L’emplacement des données reste une question épineuse. Les entreprises ont tout intérêt à se rapprocher d’un professionnel avant de lancer un projet dans le cloud.
