Présentation de l entreprise

Transcription

1 Présentation de l entreprise Krios, l informatique en liberté Certifiée ISO 9001 et 27001, Krios est spécialisée dans l intégration, le développement et l hébergement de solutions informatiques. Qu il s agisse d installer un parc informatique ou d héberger le système d information d entreprise, Krios applique les meilleures pratiques du domaine pour apporter des solutions évolutives et adaptées aux besoins spécifiques de chaque entreprise. Parmi les leaders suisses de la fourniture de services de cloud computing, Krios investi depuis plus de 10 ans dans la fourniture de service hébergés sur mesure pour les entreprises de toutes tailles. Hébergement 100% Suisse sécurisé, flexible et performant Plateforme applicative facile et efficace Service informatique disponible et proactif Hébergement de sites Internet, , Exchange, Bureau distant SwissDesk, VDI, services Cloud, Sauvegardes, Sécurité et tout autre service ou application. Développement de solutions sur mesure, suivi clients, gestion d entreprise, gestion électronique de documents, solution métier pour notaires. Analyse, conseil, vente, installation, gestion de projets, ingénierie, amélioration continue, helpdesk, dépannage, assistance, maintenance et infogérance. KRIOS Suisse SA, créée en janvier 2004, est une société suisse avec capitaux helvétiques. Société suisse inscrite au Registre du Commerce de Sion (VS) sous le n CH Siège social à 1950 Sion, Blancherie 61, CP 847 et succursale à 1890 St-Maurice, Tuilerie Sud 3a, CP87. La société est autofinancée depuis sa création. Elle est neutre et indépendante de tout fournisseur informatique. La direction est composée de trois associés possédant 100% du capital-actions : Christophe Savio Directeur commercial Thierry Mottiez Directeur d exploitation Yan Pardo Directeur R&D

2 Charte Qualité et Sécurité de l information Krios, l informatique en liberté Engagement Krios s engage à fournir des solutions durables pour l ensemble des problématiques liées aux systèmes d informations. Krios se veut un partenaire de confiance, à l écoute de ses clients, apte à améliorer ses services professionnels au quotidien et à répondre, grâce à des solutions pérennes et des coûts abordables, aux attentes des PME, dans la simplicité et l efficience. Soucieuse de l épanouissement de ses collaborateurs, Krios leur propose une formation continue dans divers domaines. Compétence et innovation Krios propose des solutions innovatrices, efficaces et économiques. Krios maîtrise l ensemble des solutions proposées en interne dans le but d offrir une qualité de service, une flexibilité et une réactivité unique. Krios poursuit une politique d autofinancement et investit activement dans la recherche et le développement de nouvelles technologies afin d offrir à ses clients les meilleures solutions et processus aux justes prix. Krios développe ses propres solutions basées sur les évolutions les plus récentes et les plus performantes de la gestion informatique. Krios dispose pour cela de ses propres infrastructures dans ses locaux sécurisés. Qualité et sécurité de l information Pérennité, fiabilité et amélioration continue sont des critères essentiels pour définir les prestations de Krios. La maîtrise des processus internes permet à Krios d assurer la qualité des services fournis, tout en garantissant la sécurité et la confidentialité des données selon les exigences de la norme internationale ISO Chez Krios, la sécurité de l information est représentée par des moyens techniques, organisationnels, juridiques et humains. Elle est liée au système de la sécurité de l information qui répond aux exigences de la norme internationale ISO Les différentes politiques rattachées à cette gestion permettent d assurer l intégralité, la disponibilité et la confidentialité de l information. Approche processus Dans l'optique de son système de management de la qualité selon ISO 9001 et de la sécurité selon ISO 27001, Krios a défini les processus suivants : Organigramme fonctionnel La structure organisationnelle de l'entreprise est la suivante :

3 Infrastructure et service haute disponibilité Krios, l informatique en liberté Performances accrues, amélioration continue, utilisation rationnelles des ressources et respect de l'environnement sont les maîtres mots. Depuis 2007, Krios investit plus de 100kCHF par an pour le développement de son cloud privé qu elle met à disposition de l ensemble de ses clients sous forme d IaaS (infrastructure en tant que service), de PaaS (plateforme en tant que service) ou de SaaS (Software en tant que service). Transit internet Swisscom et Sunrise Protection DDoS Routeur BGP redondant sur deux sites Firewall Fortinet redondant, Antivirus, IPS Switch Cisco Nexus redondant Stockage SAN Fiber Channel Monitoring 24h/24 et 7j/7 des systèmes Service de piquet et helpdesk 24h/24 et 7j/7 SLA 99.9%, PRA/PCA Sauvegarde quotidienne des serveurs Données et sauvegardes répliquées sur deux SAN en miroir synchrone sur deux sites

4 Data Center hautement sécurisé Krios, l informatique en liberté L infrastructure informatique de Krios, reposant dans deux Data Centers situés à Lausanne (Tier III) et Sion (Tier II), répond aux plus hautes exigences dans le domaine de la fourniture de services informatiques. Telehousing Swisscom Metro et Krios Haut niveau de sécurité certifié par les banques Tous les composants de l infrastructure sont redondants (alimentation électrique, UPS, refroidissement et réseau) Protection contre l incendie, le sabotage, l effraction, les impulsions électromagnétiques Vidéosurveillance et contrôle d accès Monitoring 24h/24 et 7j/7 des systèmes Certifications, normes ISO 27001, ISO 9001, ISO 14001, ISO 20000, conforme FINMA (ISAE 3402 et ISAE 3000)

5 Références Krios, l informatique en liberté Editeur de logiciel Fiduciaire Social et éducation Notariat et finance Energie et construction Divers

6 Cloud computing / ITaaS Krios, l informatique en liberté De plus en plus d entreprises, d autorités et d institutions confient le traitement de leurs données à des entreprises externes, misant sur l informatique en «nuage» (cloud computing). Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le «nuage», et l accès aux données, aux services et à l infrastructure se fait à distance. Le principe du cloud computing (ou nuage informatique) consiste à déporter sur un serveur distant les données habituellement conservées sur un ordinateur, un serveur ou un disque dur local. Il permet de sauvegarder des documents en ligne ou d accéder à des logiciels hébergés et gérés sur des serveurs externes. Il s agit également d espaces de travail collaboratifs, dans lesquels plusieurs personnes peuvent partager et modifier des documents en même temps et depuis n importe quel endroit en mode connecté. Si la dématérialisation des données et le stockage en ligne existent depuis plusieurs années déjà, de plus en plus de petites et moyennes entreprises suisses font désormais appel à ce type de solutions. Ainsi, une étude récente du cabinet spécialisé MSM Research montre que les dépenses en matière de cloud computing sur le marché suisse vont passer de CHF 465,3 millions en 2013 à CHF 974,8 millions en 2015, soit une augmentation de près de 110%. A l intérêt financier s ajoutent une facilité de mise en œuvre et une réactivité qui permettent de modifier rapidement les ressources informatiques à disposition d une entreprise. Des dizaines de sociétés suisses se disputent aujourd hui un marché jusqu alors dominé par les multinationales américaines. Les révélations sur les divers programmes du gouvernement américain visant à lire et à décoder les informations sensibles stockées en ligne semblent avoir joué un rôle. "Tout recours à des firmes américaines est formellement déconseillé, souligne Sébastien Fanti, avocat à Sion et spécialiste des nouvelles technologies. Car celui qui fait appel à des services cloud doit pouvoir auditer son prestataire, ce qui est impossible dans la pratique avec, par exemple, une firme comme Google, qui refuse de répondre s agissant de la localisation exacte des données. Il n y a guère que les prestataires suisses qui respectent le canevas légal général." Si le cloud computing offre de nombreux avantages pour une petite ou moyenne entreprise, l analyse des risques est un aspect à ne pas négliger. Ce mode de traitement des données implique grosso modo que les logiciels, la mémoire ou les capacités de calcul soient utilisées en réseau selon les besoins, par ex. sur Internet ou au sein d'un réseau privé virtuel. En d'autres termes, ces capacités sont louées: l'environnement informatique (centre de calculs, espaces de stockage, logiciels de messagerie et de collaboration, environnements de développement et logiciels spéciaux tels que la gestion des relations avec la clientèle) n'est plus la propriété de l'entreprise ou de l'autorité et n'est plus géré par celles-ci, mais est loué à un ou plusieurs prestataires de services.

7 Organisation On distingue les nuages privés, publics, hybrides et communautaires : Dans un nuage public, l'infrastructure est entièrement définie et gérée par le prestataire: l'utilisateur du nuage n'a pas droit au chapitre et ne peut par exemple exercer aucune influence sur la localisation des serveurs. Dans un nuage privé, en revanche, c'est l'entreprise elle-même ou un tiers qui exploite le nuage et celui-ci est toujours adapté aux besoins de l'entreprise. Cette deuxième solution est beaucoup plus sûre que la première, mais elle est aussi plus chère. Si une entreprise utilise conjointement un nuage public et un nuage privé, on parle de nuage hybride. Enfin, un nuage communautaire permet à plusieurs organisations d'utiliser la même infrastructure. Types d'offres Les offres portent sur l'infrastructure, sur la plateforme et sur les logiciels : Les offres dites d'«infrastructure en tant que service» (IaaS) correspond à la fourniture de Data center virtuel : le prestataire met à la disposition des utilisateurs les ressources système (processeur, mémoire, disques, réseau) en nuage pour exploiter des données ou des applications. Dans ce type d'offres, le prestataire est uniquement responsable du fonctionnement du réseau, de l'accès et du matériel. Les offres dites de «plateforme en tant que service» (PaaS) concernent à la fourniture de serveur virtuel sur mesure : l utilisateur développe et maintient une application pour la mettre à la disposition de ces clients finaux. L'utilisateur gère alors seul les données au moyen de cette application et choisi le niveau de service qu il a besoin avec la Plateforme mise à disposition. Enfin, dans les offres dites de «logiciel en tant que service» (SaaS), l'utilisateur n'est qu'un consommateur dans le nuage : il ne gère rien lui-même, ni les applications ni les données, et a seulement accès aux fonctionnalités définies par le prestataire pour traiter les données dans le nuage. Les raisons principales de l'utilisation des systèmes d'informatique en nuage sont la réduction des coûts d'infrastructure informatique et de logiciels, la mise à jour des logiciels sur demande, une plus grande capacité de calcul, un espace de stockage des données dynamique (la mémoire louée dans le nuage augmente ou se réduit en fonction des données qui y sont enregistrées), la mobilité, la simplicité et la rapidité de l'accès aux données, l'extensibilité du système et, dans certains cas, l'amélioration de la sécurité.

8

9 Pourquoi choisir le cloud privé et les services de Krios Au 21 e siècle, les données d'une société concernant le personnel, les affaires, les clients, les salaires, les poursuites, les transactions, la comptabilité, la fiscalité, les secrets de fabrication, etc. sont d'une importance capitale. En principe stockées sous forme électronique sur des serveurs ou des ordinateurs individuels, ces données peuvent aussi être hébergées ailleurs, par exemple sur le cloud. Stocker les données de sa société sur le cloud n'est pas une chose à prendre à la légère. En effet, la société va confier des données personnelles et organisationnelles à un tiers qui sera contractuellement chargé de les collecter, de les stocker ou plutôt, de manière générale, de les traiter. Comme les données sortent de la maitrise effective de la société, cette dernière doit au préalable s'assurer qu'elles seront bien traitées. Krios est une société suisse au capital totalement helvétique. Les données sont hébergées exclusivement en Suisse et donc soumises au droit suisse. Même s il est envisageable que le gouvernement ou la justice suisse demandent à avoir accès aux données, il est plus facile de s y opposer ou de faire valoir ses droits, le cas échéant. Si les données sont hébergées en Suisse, la loi sur la protection des données (LPD) sera applicable. La LPD énonce un certain nombre de principes et de dispositions relatives au traitement des données par des personnes privées qui pourront, le cas échéant, permettre d'attaquer en justice ou de faire valoir ses droits contre toute atteinte à la personnalité ou contre tout traitement de données non autorisé. Il est par contre difficile de faire valoir ses droits à l étranger depuis la Suisse. En utilisant des services comme DropBox, GoogleDrive, OneDrive, icloud ou autre service de sociétés américaines, soumises au droit américain, le gouvernement américain peut accéder aux données sur demande auprès du fournisseur, sans préavis et opposition possible. L hébergement de données aux Etats-Unis pose un autre problème. Dans ce pays, il n existe pas de loi sur la protection des données. Même si l'union européenne et la Suisse ont conclu des accords avec les États-Unis (appelés safe harbors). Ces safe harbors sont là pour permettre aux sociétés américaines de traiter des données personnelles provenant d'europe pour autant que ces sociétés disposent de standards adéquats de protection de la vie privée et des données personnelles. Ces safe harbors ne sont pas contraignants de facto, les sociétés ont la possibilité de rejoindre ces programmes, mais n'y sont pas obligées (bien que ce soit recommandé). Les risques de l'informatique liés à la délocalisation de données À cet égard, Krios apporte des solutions et des garanties : Perte de contrôle sur les données Le maître des données sait que ses données sont exclusivement stockées en Suisse, dans le cloud privé de Krios, réparti sur deux Data centers. Krios veille à une protection adéquate des données. L'utilisateur peut donc assumer ses obligations en matière de protection des données (garantir la sécurité et la confidentialité des données, accorder un droit d'accès, corriger ou effacer des données).

10 Manque de séparation et d'isolation des données L'informatique hébergée implique que les données de plusieurs utilisateurs qui n'ont aucun lien entre eux soient traitées dans le même environnement et par le même système (architecture partagée). Cela augmente le risque qu'une attaque contre un des utilisateurs affecte également les autres. Krios met un point d honneur à tout mettre en œuvre pour limiter ce risque en appliquant les meilleures pratiques et en se dotant des meilleurs outils informatiques. Non-respect des dispositions légales L infrastructure de Krios fonctionne dans des Data centers exclusivement situé en Suisse, ce qui garanti que l ensemble des services fournis sont soumis au droit suisse. Ainsi, le prestataire, tout comme les entreprises et les autorités qui ont recours à de tels services répondent au respect des mêmes règles en matière de protection des données. Accès d'autorités étrangères aux données Les données destinées à être traitées dans le nuage ne sont en aucun cas communiquées à l'étranger par Krios. Captivité Krios a recours à une technologie et à une interface standardisée, le rapatriement des données dans le système informatique de l'utilisateur ou leur migration dans le nuage d'un autre prestataire est donc facilement envisageable. Les risques communs, que les données soient hébergées ou non Perte de données Krios sauvegarde l ensemble des données hébergées sur des systèmes de stockage tiers, également localisés dans ses Data Centers en Suisse. L ensemble des systèmes de stockage haut de gamme sont gérés avec la plus grande sécurité afin d éviter toute perte de données. Pannes de système et de réseau et non-disponibilité des ressources et des services L ensemble des équipements critiques sont redondants et répartis sur deux sites distants de plus de 100 km. Une panne n a donc en principe aucune incidence sur la disponibilité des services et ne peut donc pas entrainer de pertes de données (la sécurité et l'intégrité des données sont alors garanties). Usage abusif des données Dans le cadre de l analyse régulière des risques relative à la confidentialité et la sécurité des données (ISO 27001), Krios s assure que les droits d'accès (physiques et virtuels) des employés soient conformes et sous surveillance.

11 L'utilisation de services hébergés du point de vue de la protection des données Krios est régulièrement audité par rapport à ses certifications ISO 9001 et ISO qui englobent, notamment, les dispositions sur la protection des données applicables en Suisse. Krios protège les données contre les risques suivants : destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite; modification, copie, accès ou autre traitement non autorisés. Du point de vue du droit de la protection des données, le traitement de données personnelles découlant de l'utilisation de l'informatique en nuage relève normalement du traitement de données par un tiers au sens de l'art. 10a LPD. Aux termes de cet article, le traitement de données personnelles peut être confié à un tiers (en l'occurrence, le prestataire de services) pour autant qu'une convention ou que la loi le prévoie et que les conditions suivantes sont remplies: seules les traitements que le mandant (en l'occurrence, l'utilisateur du service) serait en droit d'effectuer lui-même sont effectués et aucune obligation légale ou contractuelle de garder le secret ne l'interdit. Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données. L'utilisateur du service doit s'assurer que le prestataire (le tiers) garantit la sécurité des données au sens de l'art. 7 LPD et des art. 8 ss et 20 ss OLPD. Ces dispositions prévoient que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées et qu'il faut assurer la confidentialité, la disponibilité et l'intégrité des données. L'utilisation de services en nuage chez Krios n implique pas de communiquer des données à l'étranger. Les pays étrangers connaissent très souvent un niveau de protection des données inférieur à celui de la Suisse : les données qui y sont transmises risquent donc de subir des traitements qui ne seraient pas autorisés en Suisse. C'est pourquoi aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence de législation assurant un niveau de protection adéquat (art. 6, al. 1, LPD), sauf si l'une des conditions visées à l'art. 6, al. 2, LPD est remplie. Il faut considérer qu'il revient en tout état de cause à celui qui transmet des données à l'étranger de prouver qu'il a pris toutes les mesures nécessaires pour garantir un niveau de protection adéquat. Enfin, l'utilisateur répond du droit d'accès (art. 8 LPD) et du droit d'effacer ou de rectifier les données (art. 5 LPD). Ces droits doivent être garantis en tout temps et leur mise en œuvre doit respecter les prescriptions en matière de protection des données, ce qui peut poser de grandes difficultés: comme dit plus haut, l'utilisation d'applications en nuage implique souvent une perte de contrôle sur les données et l'utilisateur ne sait pas ou plus où les données sont traitées. Cependant, cela ne le libère pas de ses obligations légales.

12 Localisation des données Les données doivent être traitées dans le même pays que la société dont elles proviennent, en l'occurrence la Suisse. Tous les pays n'exigent pas le même niveau de sécurité qu'en Suisse, et tous n'ont pas des normes juridiques semblables. Les pays de l'union européenne ont un cadre réglementaire similaire au nôtre et pourraient faire de bons candidats pour la sélection d'un cloud, mais par principe il vaut mieux ne pas communiquer ses données à l'étranger. Le corolaire du premier principe est de pouvoir s'assurer de la localisation "physique" des données. Des représentants de la société doivent pouvoir se rendre sur place, constater et s'assurer que les données sont bien là où l'hébergeur dit qu'elles sont. Cette vérification doit pouvoir être faite en tout temps. Contrat Un critère important du choix de l'hébergeur est sa capacité à fournir une prestation sur mesure, personnalisée. Toutes les sociétés n'ont pas les mêmes intérêts ni les mêmes données. Il faut donc que le service cloud que propose l'hébergeur soit adapté et adaptable. La confidentialité des données doit être assurée. Il est donc primordial que l hébergeur soit conforme aux principales normes internationales, notamment les normes ISO 9001 pour les systèmes de gestion de la qualité et ISO pour la gestion de la sécurité et la confidentialité des données. Le for applicable en cas de litige sera un élément déterminant et devrait se trouver en Suisse. Les conditions pour une élection de for se trouvent à l'art. 17 du Code de procédure civile. Le for en matière pénale ou celui d'une procédure administrative ne peuvent être librement choisis. Les modalités concernant la fin de la relation contractuelle doivent être détaillées. Non seulement les données doivent être restituées, mais l'hébergeur doit être en mesure de certifier qu'elles ne sont plus en leur possession. A cet égard, il peut être judicieux de demander l'établissement d'un certificat relatif à la restitution et à la suppression des données.

13 Contrôles La sécurité des données doit être assurée. L'hébergeur doit mettre en place des mesures et systèmes de contrôle destinés à empêcher les soustractions de données ainsi que les fuites. Il doit donc disposer d'instruments informatiques visant à empêcher notamment les intrusions, mais il doit aussi former et sensibiliser ses employés concernant ces risques. De plus, des mesures de sécurité visant le personnel doivent également être adoptées et connues de celui-ci, en particulier afin de faire obstacle aux vols de données en interne. Tant la société que l'hébergeur devraient demander des conseils au Préposé fédéral à la protection des données et à la transparence (ou au préposé cantonal si c'est un organe de l'état qui souhaite utiliser les services d'un cloud privé). La démarche est judicieuse pour l'hébergeur, car cela peut constituer un gage de confiance supplémentaire auprès de ses clients. Pour la société, cela lui permettra notamment d'être sensibilisée à certaines problématiques. Assurances Il serait avisé pour la société de conclure une assurance de protection juridique permettant de couvrir les frais d'un éventuel procès (pénal ou civil), afin d'éviter de vider la trésorerie ou de devoir renoncer à porter une affaire devant les tribunaux par manque de liquidités. En effet, si c'est elle la demanderesse, il lui reviendra de verser des avances de frais qui peuvent se chiffrer en milliers de francs. Une assurance pertes d'exploitation devrait aussi être considérée afin de couvrir le cas où les données ne seraient plus accessibles suite à un dysfonctionnement du cloud. Dans une telle situation, les données étant indisponibles, c'est toute la société qui peut se retrouver paralysée, et donc subir des dommages comme une perte sur son chiffre d'affaires. Conclusion Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire. En fin de compte, l'utilisateur du service reste responsable du respect des prescriptions en matière de protection des données, puisqu'il mandate un prestataire, et il répond des infractions en la matière auprès des personnes concernées. Par ailleurs, il est fortement recommandé de choisir le cloud privé 100% suisse, géré par un prestataire au capital helvétique tel que KRIOS Suisse SA.