Contractualiser la sécurité du cloud computing



Documents pareils
Les clauses sécurité dans un contrat de cloud

Les clauses «sécurité» d'un contrat SaaS

Sécurité du cloud computing

Maîtriser ses données dans le cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Le contrat Cloud : plus simple et plus dangereux

Quelles assurances proposer? Focus sur le cloud computing

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Aspects juridiques des tests d'intrusion

CONDITIONS PARTICULIERES

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

MEYER & Partenaires Conseils en Propriété Industrielle

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE

CONVENTION REGISTRE - BUREAU D ENREGISTREMENT

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

Contrat d'hébergement application ERP/CRM - Dolihosting

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

Contrat de fourniture de services applicatifs (ASP)

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

CONTRAT DE MAINTENANCE "Matériel informatique"

Agilis.CRM On-Demand Conditions générales de vente Contrat de service

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Conditions générales d abonnement en ligne et d utilisation du site

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

CONDITIONS PARTICULIERES DE MESSAGERIE COLLABORATIVE - HOSTED EXCHANGE 2013

CONDITIONS GENERALES DE VENTE

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 01/07/2014

Conditions Générales Location d équipements terminaux

Notre expertise au cœur de vos projets

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Cloud computing ET protection des données

CONDITIONS GENERALES D'UTILISATION OFFRE DE LOCATION -

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 3 novembre 2009

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

TERMES D'UTILISATION :

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 31/07/2013

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Conditions Générales Le cocontractant est seul responsable, notamment, de l'usage qu'il fait des résultats de l'intervention.

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

CONDITIONS GÉNÉRALES DE VENTE

Les définitions suivantes ne s appliquent qu aux présentes Conditions d utilisation du Site API de Preva :

Conditions générales d utilisation

NE PAS EXTERNALISER SA RESPONSABILITÉ

Relations verticales au sein de la chaîne d'approvisionnement alimentaire: Principes de bonnes pratiques

CONDITIONS GENERALES DE VENTE ET D UTILISATION A DISTANCE

Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas-Linel et David Feldman

Portail clients GCC (GlobalSign Certificate Center) Conditions d'utilisation du service

Fiche de l'awt Contrat d'hébergement d'un site Web

Dans le cadre de ses activités elle propose un service de gestion de Domaines pour Intenet : enregistrement et gestion

CONDITIONS GENERALES DE FOURNITURE DU SERVICE DE TELEPHONIE MOBILE SIMYO

CONDITIONS GÉNÉRALES DE VENTE. Les présentes conditions visent à répondre aux impératifs de l article L441-6 du Code de Commerce.

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

Le Cloud Computing 10 janvier 2012

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

CONDITIONS PARTICULIERES APPLICABLES AUX SERVICES

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

CONDITIONS GENERALES PRESTATIONS DE REFERENCEMENT

R41 REGLE DE PRESCRIPTION. Télésécurité. Habitations Risques «standard» Edition (décembre 2000)

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Article 1 : Relations contractuelles entre les parties

informatique internet télécommunications

ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB CONDITIONS GENERALES D'ADHESION AU SYSTEME DE PAIEMENT A DISTANCE PAR CARTES BANCAIRES CB

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

Contrats Générales d utilisation et de vente de la solution Mailissimo

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

LE CONTENU DES MODALITÉS DE SERVICE

Maintenance du parc informatique N 14/04/RH/SE MARCHE PUBLIC DE FOURNITURES COURANTES ET DE SERVICES. Passé selon la procédure adaptée

Comment formaliser une offre Cloud Computing vendable?

Contrat de conception, reéalisation et hébergement de site web

CONTRAT DE MAINTENANCE

ETUDE COMPARATIVE : PROPOSITION DE DIRECTIVE RELATIVE AU DROIT DES CONSOMMATEURS PAR RAPPORT AU DROIT COMMUNAUTAIRE ET AU DROIT FRANÇAIS POSITIF

CONTRAT DE FOURNITURE DE SERVICES INFORMATIQUES EN MODE SaaS

OTRT : Office Tchadien de Régulation des Télécommunications. Contrat de Bureau d enregistrement

CONDITIONS GENERALES D'HEBERGEMENT D'UN SERVEUR DEDIE

Recommandations sur le Cloud computing

Conditions Générales de Vente

Conditions Générales de Vente

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CONDITIONS PARTICULIÈRES DU SERVEUR VIRTUEL KIMSUFI (VKS) Version en date du 15/05/2012

Version en date du 01 avril 2010

5 novembre Cloud, Big Data et sécurité Conseils et solutions

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Conditions générale de vente au 25/03/2014

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud computing Frédéric Connes Frédéric Connes <Frederic.Connes@hsc.fr>

Plan Contrat Envoi des données Prérogatives du prestataire Obligations du client Données à caractère personnel Obligation de sécurité Audits de sécurité Confidentialité Effacement des données Convention de service attendu Réversibilité Résiliation En conclusion 2/17

Contrat Normes juridiques : hiérarchie Pas de normes juridiques sur la sécurité du cloud computing Source principale pour le cloud : contrat Contrat : en dessous de la hiérarchie des normes Code civil, art. 1134 Les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites Elles ne peuvent être révoquées que de leur consentement mutuel, ou pour les causes que la loi autorise Elles doivent être exécutées de bonne foi 3/17

Contrat Obligations réciproques En principe résultat d'une négociation Code civil, art. 1135 Les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l'équité, l'usage ou la loi donnent à l'obligation d'après sa nature Code civil, art. 1156 On doit dans les conventions rechercher quelle a été la commune intention des parties contractantes, plutôt que de s'arrêter au sens littéral des termes 4/17

Envoi des données Du client vers le prestataire Le prestataire doit garantir la sécurité des données Dès leur acheminement via Internet (canal sécurisé) Dès leur réception dans son système d'information (avant la bascule) Moyens techniques A détailler par le prestataire, mais préciser : non limitatifs Exemples : chiffrement, sauvegardes, empreintes, formats de données pour la migration... Garantir la continuité avec le système antérieur Responsabilité du prestataire d'être prêt pour éviter toute interruption de service au moment de la bascule 5/17

Prérogatives du prestataire Intervenir sur les données ou les applications du client En cas d'attaque ou de dysfonctionnement Si le client ne peut pas agir lui-même Urgence : le client ne répond pas Le client n'a pas la compétence technique pour intervenir A l'occasion d'une maintenance A la demande d'un juge Selon quelles modalités? Conditions à remplir pour accéder aux données et applications Indemnisation éventuelle du client en cas de dysfonctionnement consécutif à l'intervention? 6/17

Obligations du client Respecter les dispositions légales et réglementaires en vigueur Données personnelles, spam, STAD,... Propriété intellectuelle, infractions de presse,... Garantir la confidentialité des mots de passe attribués Agir promptement en cas de notification de contenus Responsabilité en tant qu'hébergeur si en a la qualité Agir promptement en cas d'attaque (intrusion, DoS,...) Notamment : avertir le prestataire Sanctions Suspension, suppression du service, avec ou sans préavis 7/17

Données à caractère personnel Loi du 6 janvier 1978 «informatique et libertés» Qui est responsable de traitement? CNIL, 25 juin 2012 : le client (le prestataire est sous-traitant) Mais présomption renversable, coresponsabilité possible G29, 1 er juillet 2012 : le client est l'unique responsable de traitement Déterminer la loi applicable Préciser le lieu d'établissement et la localisation des moyens de traitement Prévoir les éventuels transferts de données hors UE Donc : savoir avec précision où vont les données Reprendre les obligations du responsable de traitement Formalités préalables, information, droit d'accès, sécurité... 8/17

Obligation de sécurité Des données personnelles A la charge du responsable de traitement Obligation de moyens Doit être reportée sur le sous-traitant par contrat Clauses spécifiques à la sécurité «Mettre tous les moyens en œuvre pour garantir la sécurité» «Apporter tout le soin et la diligence nécessaires à la fourniture d'un service conforme aux usages de la profession et à l'état de l'art» Idéalement, détailler ou renvoyer à une annexe sécurité 9/17

Audits de sécurité Possibilité pour le client d'en demander Dépend du rapport de force entre le client et le prestataire Risques potentiellement mal évalués si pas d'audit Le prestataire peut convenir de se faire auditer régulièrement à ses frais pour satisfaire tous ses clients Périmètre des audits Périodicité des audits Modalités des audits Techniques Organisationnels Processus de certification? 10/17

Confidentialité Clause spécifique : possibilité pour le prestataire d'accéder aux données du client Avec ou sans son accord Pratique des clés ssh du prestataire sur les hébergements IaaS Respect du secret professionnel Usage potentiellement fait des données Quels contrôles sont réalisés par le prestataire? Sur l'information des personnels Sur le respect de l'obligation de confidentialité 11/17

Effacement des données Peut être demandé En cours de contrat A l'expiration d'un délai suivant un événement A tout instant à la demande expresse du client Lors de la résiliation Problèmes L'effacement physique est rarement réel et complet Sauf outils spécifiques peu utilisés par les prestataires Il est difficile d'effacer dans Les architectures redondantes (combien de copies? localisation?) Les sauvegardes/archives (mutualisées avec d'autres clients?) Technique des données chiffrées dont on «oublie» la clé 12/17

Convention de service attendu Service Level Agreement (SLA) Taux global de disponibilité En comptant les maintenances programmées? Durée cumulée des indisponibilités Nombre maximum d'indisponibilités Période retenue (jour, semaine, mois, trimestre, année...) GTI, GTR Exclusions Force majeure Prévenance Prévoir le délai de prévenance permettant l'exclusion Calcul des indemnités et maximum 13/17

Réversibilité On parle aussi de : portabilité, transférabilité,... Permettre au client de reprendre possession de ses données A tout moment Sans justification Délai de prévenance Faire des exports réguliers pendant l'exécution du contrat? Formats d'exportation des données : ouverts, standard? Prestataire : «Apporter l'assistance nécessaire pour faciliter le transfert des données et des moyens de sécurité matériels et logiciels vers le client ou tout autre prestataire» Finalement, qui est propriétaire des données? 14/17

Résiliation Prévoir les motifs Manquement grave du prestataire à l'une des obligations de sécurité mises à sa charge par le contrat Disponibilité, confidentialité, intégrité, réversibilité... Liste non exhaustive des manquements graves Mise en demeure du client de mettre fin au manquement Prévoir le délai Si le manquement n'est pas réparé dans le délai, le client peut résilier le contrat de plein droit Avec ou sans préavis Prévoir aussi des pénalités 15/17

En conclusion Le contrat est fondamental pour la sécurité juridique Tant du client que du prestataire Ne pas faire confiance aux exemples de clauses que l'on trouve sur Internet Le contrat est nécessairement spécifique Sauf face aux géants qui refusent de négocier «Contrats d'acceptation» Réviser périodiquement les clauses sécurité du contrat en fonction De l'évolution de la relation contractuelle et du rapport de force De l'évolution des techniques et de l'état de l'art Des besoins du client et des offres du prestataire 16/17

Questions 17/17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back