Cloud Computing : Problèmes juridiques et réglementaires

Hormis les problèmes liés à la technologie et à la sécurité, il existe également un grand nombre d'autres problèmes à prendre en compte lors de la transition vers le nuage, tels que les problèmes réglementaires, juridiques et liés à la conformité.

Vic (J.R.) Winkler

Adapté de « sécuriser le nuage : Tactiques et Techniques de sécurité informatique des nuages » (Syngress, une empreinte de Elsevier, 2011)

Le paysage juridique et réglementaire autour de cloud computing n'est pas statique. Il y a des nouvelles lois proposés qui pourraient modifier les responsabilités des locataires informatique de nuage et de fournisseurs.

Cloud computing qui emploie un hybride, la communauté ou le modèle de cloud public » crée une nouvelle dynamique dans les relations entre une organisation et de ses informations, impliquant la présence d'une tierce partie : le fournisseur de cloud. Cela crée des défis nouveaux à comprendre comment les lois s'appliquent à une grande variété de scénarios de gestion des informations, » selon Glen Brunette et Rich Mogull de Cloud Security Alliance, dans leur livre blanc, « les conseils de sécurité pour les domaines critiques de nuage informatique. »

Cela crée des difficultés concrètes pour comprendre comment les lois s'appliquent à différentes parties dans le cadre de divers scénarios. Peu importe de quel modèle de calcul, vous utilisez, des nuages ou autrement, vous avez besoin d'examiner les questions juridiques, plus particulièrement ceux autour de toutes les données que vous pouvez recueillir, stocker et traiter. Il y aura probablement d'État, national ou international laws, que vous (ou, de préférence, vos avocats) devront prendre en considération pour s'assurer que vous sont dans le respect de la Loi.

Si le client locataire ou nuage fonctionne dans les États-Unis, Canada ou de l'Union européenne, ils sont soumis à nombreuses exigences réglementaires. Citons notamment des objectifs de contrôle pour l'Information et la technologie connexe et Safe Harbor. Ces lois pourraient être liés à où les données sont stockées ou transférées, ainsi que comment bien cette données sont protégées par un aspect de la confidentialité.

Certaines de ces lois s'appliquent aux marchés spécifiques, tels que la Health Insurance Portability and Accountability Act (HIPAA) pour l'industrie des soins de santé. Cependant, entreprises souvent stockent des informations relatives à la santé sur les employés, qui signifie que les entreprises pourraient se conformer HIPPA même si ils ne sont pas opérant sur ce marché.

Omission de protéger adéquatement vos données peut avoir un certain nombre de conséquences, y compris le potentiel des amendes par le gouvernement ou des organismes de réglementation de l'industrie. Ces amendes peuvent être considérables et potentiellement handicapante pour une petite ou moyenne entreprise. Par exemple, l'industrie de carte de paiement (PCI) peut imposer des amendes jusqu'à concurrence de 100 000 $ par mois pour les violations de sa conformité. Bien que ces amendes seront perçus sur l'acquisition de la Banque, ils sont probables à l'impact du marchand ainsi.

Lois ou règlements généralement spécifier qui au sein d'une entreprise doit être tenu responsable et responsable de la sécurité et l'exactitude des données. Si vous êtes collecte et contenant des données HIPAA, vous devez avoir un poste de sécurité désigné pour assurer la conformité. La Loi de Sarbanes–Oxley désigne le CFO et directeur général d'avoir une responsabilité commune pour les données financières. La Loi Bliley est plus large, en spécifiant la responsabilité de la sécurité avec le Conseil d'administration de tout. Moins précis est la Federal Trade Commission (FTC), qui exige seulement une personne en particulier d'être responsable pour le programme de sécurité des informations au sein d'une entreprise.

Participation de tiers

Si vous utilisez une infrastructure de cloud provenant d'un fournisseur de services cloud, vous devez imposer à toutes les exigences légales ou réglementaires qui s'appliquent à votre entreprise sur votre fournisseur ainsi. C'est votre responsabilité, pas le fournisseur. Compte tenu de la réglementation HIPAA à titre d'exemple, les sous-traitants que vous employez (par exemple, un fournisseur de services cloud) doivent avoir une clause dans le contrat stipulant que le fournisseur va utiliser les contrôles de sécurité raisonnable et aussi se conformer à toute disposition de la vie privée des données.

Aux États-Unis, les deux agences du gouvernement fédéral et des États tels que la FTC et différents procureurs généraux ont fait entreprises responsables pour les actions de leurs sous-traitants. Cela a été répliquées ailleurs, comme dans l'Union européenne avec les organismes de protection des données. L'utilisation de l'infrastructure de nuage devient plus fréquente, que les risques d'une troisième partie accès aux données illégalement augmentent également.

Même avec des données chiffrées, le tiers pourrait ont accès aux clés et donc avoir accès aux données sous-jacentes. Souvent, les risques sont amplifiés, comme il pourrait y avoir un certain nombre de parties concernées : le fournisseur de nuages ; soutien de nuages ; opérations ; et des équipes de gestion ; ainsi que d'autres personnes qui gèrent et de soutenir les applications. Entrepreneurs qui travail pour l'une de ces organisations puisse en outre composent la dissipation dans le contrôle.

Questions d'ordre contractuelles

Ce sont quelques-unes des questions que vous devez vous demander à tous les stades du processus contractuel :

• Initiale due diligence
• Négociation du contrat
• Implémentation
• Résiliation (fin de mandat ou anormale)
• Transfert de fournisseur

Initiale de Due Diligence

Avant de conclure un contrat avec un fournisseur de nuage, votre entreprise doit évaluer ses besoins et exigences. Vous devez définir la portée des services que vous recherchez, avec les restrictions, les règlements ou les questions de conformité qui doivent être satisfaits. Par exemple, si vous allez pour recueillir et stocker des données HIPAA employé dans le nuage, vous devez vous assurer que tout fournisseur satisfont aux lignes directrices définies par la réglementation HIPAA. Évaluer les différentes lois et règlements, que votre entreprise a besoin de se conformer aux peut bien définir ce que vous pouvez déployer dans un nuage, ou vous pouvez utiliser le type de service.

Vous devez également taux de tous les services que vous déployez dans le nuage de leur criticité pour votre entreprise. Si vous souhaitez déployer un service qui est essentiel à l'entreprise ou entraînerait une perturbation majeure si elle devient indisponible, vous aurez besoin de ce facteur dans l'évaluation de votre fournisseur.

Comme un certain nombre de fournisseurs entrent dans ce marché, il est inévitable que certains échoueront ou tout simplement cesser de fournir le service si ils jugent que ce n'est pas rentable pour eux. Souvent, grandes entreprises vont entrer sur le marché mais laisser une fois les bénéfices attendus ne se matérialisent. Si c'est le cœur de métier du fournisseur nuage, il pourrait être disposée à poursuivre l'exploitation de plus avec un petit profit.

Les questions que vous devez envisager avant d'évaluer les fournisseurs de cloud services comprennent :

• Est-ce service nuage un véritable cœur de métier du fournisseur ?
• Comment financièrement stable est le fournisseur ?
• Est la société externalisation tout aspect du service à un tiers et dans l'affirmative, si le tiers a les arrangements appropriés avec le fournisseur ?
• La sécurité physique de ses centres de données répond à vos besoins juridiques, réglementaires et commerciales ?
• Sont la continuité des affaires et la catastrophe des plans de rétablissement conformes aux besoins de votre entreprise ?
• Quel est son niveau d'expertise technique au sein de son équipe d'opérations ?
• Combien de temps la compagnie offre le service, et c'est un record de piste avec les clients vérifiables ?
• Le fournisseur offre une indemnisation ?

Une fois que votre entreprise a effectué une telle diligence raisonnable, vous pouvez commencer une évaluation sérieuse des fournisseurs. Cela réduira le temps passer ensemble dans les négociations et vous assurer que le bon niveau de sécurité est en place pour vos besoins particuliers.

Vous ne peut pas attendre votre fournisseur nuage de connaître vos besoins en détail. Il peut être bien au courant de la réglementation à laquelle il doit se conformer. S'il y a un manquement au règlement, il sera votre entreprise qui est pénalisé et pas votre choix fournisseur des nuages. Alors choisissez bien — mais toujours faire vos devoirs.

Vic (J.R.) Winkler est un principal adjoint à Booz Allen Hamilton Inc., fournissant une consultation technique principalement des États-Unis clients du gouvernement. Il est une sécurité de l'information publiée et chercheur en sécurité cybernétique, ainsi que d'expert en intrusion et détection d'anomalie.

© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec la permission de Syngress, une empreinte de Elsevier. Copyright 2011. « Sécuriser le nuage » par Vic (J.R.) Winkler. Pour plus d'informations sur ce titre et d'autres livres similaires, veuillez visiter elsevierdirect.com.

Contenu associé

• Microsoft Forefront : Accès sécurisé à vos Services de Cloud
• Sécurité de nuage : Il partage en toute sécurité des Solutions
• Cloud Computing : Embarquez vers le nuage