Cloud : Faut-il craindre le Patriot Act ? ou les bons réflexes pour protéger ses données dans le nuage

Bonjour,

Voici un post qui fait suite à une interview réalisée lors de l'Open World Forum: Voir la vidéo ici Patriot act

Suite à une conférence sur le Cloud français (que vous retrouverez ici sous un nom en anglais sic :-/ ) , Philippe Scoffoni m'a interrogé sur un point qui revient régulièrement dans les discussions sur le cloud: le Patriot Act.

J'avoue être sceptique sur le danger de celui-ci en matière de cloud, je m'explique:

  1. Le Patriot Act est un outil pour lutter contre le terrorisme or nous ne sommes pas en guerre contre les Etats-Unis. La sollicitation de celui-ci est soumis à des contraintes administratives précises qui ne peuvent se justifier pour un simple espionnage industriel.
  2. Le Cloud ne doit pas empêcher les entreprises de réfléchir et il ne semble pas pertinent d'externaliser ses données stratégiques encore moins dans une infrastructure se situant à plusieurs milliers de kilomètres. Si une entreprise fait ce choix pour des raisons particulières, elle peut décider de mettre en place un outil de Grid computing afin d'"exploser" ses données et de les rendre inutilisables par des tiers.

D'autres dangers plus importants nous guettent en matière de Cloud:

  1. L'utilisation par des entreprises qui fournissent des solutions ou des applications de cloud des données à des fins d'espionnage industriel.
  2. Le régime juridique applicable à une donnée quand celle-ci est hébergée sur une infrastructure dans un pays qui aurait des régimes juridiques et financiers particulièrement favorables aux entreprises "malveillantes".
  3. Les risques liés au transport des données, en effet une donnée peut être difficilement protégée durant son transport. Quand on réalise combien de fois une donnée peut faire le tour de la terre en quelques secondes, on réalise que les opportunités de piratage sont immenses.

Les bons réflexes:

  1. Utiliser un cloud basé sur du logiciel libre qui sera transparent pour l'utilisateur,
  2. Vérifier où sont entreposées les données quand on signe un contrat avec un fournisseur de cloud. Privilégier un contrat de droit français auquel le fournisseur sera soumis même si les données sont sur des serveurs au Canada.
  3. Ne pas mettre en cloud dit public ses données vraiment stratégiques. On peut très bien avoir un cloud privé, interne à l'entreprise, pour cela ou alors utiliser une solution de Grid computing pour protéger ses données.
  4. Favoriser des fournisseurs de cloud ayant une infrastructure en France au moins pour ses données "vitales".

A vos avis, A bientôt, Jonathan

PS: Bien entendu ce raisonnement ne s'applique qu'à des données professionnelles, je ne parle même pas de nos données personnelles où les enjeux sont immenses....

Vus : 1257
Publié par Jonathan Le Lous : 200