Recommandations sur le Cloud computing



Documents pareils
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

MEYER & Partenaires Conseils en Propriété Industrielle

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Le contrat Cloud : plus simple et plus dangereux

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Cloud computing ET protection des données

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Auditabilité des SI et Sécurité

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Maîtriser ses données dans le cloud computing

Sécurité du cloud computing

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

Traitement des Données Personnelles 2012

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Quelles assurances proposer? Focus sur le cloud computing

Le Cloud. Généralités & Sécurité. Valentin Lecerf Salon du multimédia et de la photo Proville

Revue d actualité juridique de la sécurité du Système d information

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Systèmes et réseaux d information et de communication

Contractualiser la sécurité du cloud computing

Présentation de l Université Numérique de Paris Île-de-France

Guide pratique à l attention des directions générales et opérationnelles

Gestion des Incidents SSI

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

NE PAS EXTERNALISER SA RESPONSABILITÉ

Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas-Linel et David Feldman

Recovery as a Service

politique de la France en matière de cybersécurité

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Panorama général des normes et outils d audit. François VERGEZ AFAI

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Les clauses «sécurité» d'un contrat SaaS

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Les clauses sécurité dans un contrat de cloud

Cloud Computing, Fondamentaux, Usage et solutions

Consultation relative au Cloud computing

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

Baromètre MARKESS International des Prestataires du Cloud Computing 7 ème édition 2013

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Monique Castruccio Baumstark - CRiP

Notre réponse à la consultation de la CNIL relative au Cloud computing

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

MAÎTRISER LES RISQUES DE L INFOGÉRANCE

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Cloud computing. Des risques et des solutions CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013 CYRIL PIERRE-BEAUSSE

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La sécurité des données hébergées dans le Cloud

Mes logiciels d'entreprise dans le Cloud. Didier Gabioud

Position du CIGREF sur le Cloud computing

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Prestations d audit et de conseil 2015

Le Réseau Social d Entreprise (RSE)

Qui sommes nous? +600 clients en France et à l international

QU EST CE QUE LE CLOUD COMPUTING?

Comment mesurer l'impact des solutions "on demand" sur la valeur du Système d Information?

Montrer que la gestion des risques en sécurité de l information est liée au métier

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

3bureaux 8.5 2,5M. SPALLIAN EN QUELQUES CHIFFRES Notre société en quelques chiffres. France / Brésil / Afrique du Sud. Plus de 600 clients

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

PLATE- FORME MUTUALISEE DE SERVICES DIFFERENCIES POUR USAGES D ETABLISSEMENTS D ENSEIGNEMENT SUPERIEUR ET DE RECHERCHE ET APPLICATIONS METIER

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

Présentation de la démarche : ITrust et IKare by ITrust

AUDIT CONSEIL CERT FORMATION

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Informations sur la NFS

AoIP - DES SOLUTIONS MODERNES

Ministère de l intérieur

Cloud Computing: de la technologie à l usage final. Patrick CRASSON Oracle Thomas RULMONT WDC/CloudSphere Thibault van der Auwermeulen Expopolis

L'infonuagique, les opportunités et les risques v.1

Les défis et nouvelles opportunités du «cloud computing»

informatique internet télécommunications

CONSEIL INFOGÉRANCE HÉBERGEMENT

Aspects juridiques des tests d'intrusion

Résumé CONCEPTEUR, INTEGRATEUR, OPERATEUR DE SYSTEMES CRITIQUES

Le Cloud Computing 10 janvier 2012

Cloud Computing Quels risques juridiques pour les banques?

L Expertise du Coffre-fort Bancaire au Service du Dossier Patient

Gestion du risque numérique

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Le 360 T&I Evaluations

FORMULAIRE DE DEMANDE. Sedex Member Ethical Trading Audit (SMETA)

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

accompagner la transformation digitale grâce au Big & Fast Data Orange Business Services Confidentiel 02/10/2014

Transcription:

Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires européennes et internationales Amandine JAMBERT, Ingénieur expert au Service de l expertise

La CNILface au Cloud computing Historique Les précédents Entretiens et première communication à la Commission Consultation publique Synthèse de la consultation et recommandations Présentation et publication de nos recommandations Actions entreprises en parallèle par la CNIL Contribution à l Avis WP196 du G29 Participation à l élaboration de nouvelles normes (27017/27018) Participation aux groupes de travail du Cloud Security Alliance 2

Enjeux et objectifs Principaux enjeux du Cloud en termes informatique et liberté Juridiques En matière de sécurité Objectifs des recommandations de la CNIL Aider les entreprises clientes de services de Cloud computing, notamment les PME, à faire les bons choix au regard de la loi Informatique et Libertés Fournir des pistes de réflexion Proposer des outils pratiques 3

Résultats de la consultation publique 49 contributions Profils des contributeurs prestataires clients associations professionnelles cabinets de conseil en sécurité informatique cabinets d'avocats divers (think tank, individus) Points confirmés: définition du Cloud, droit applicable et encadrement des transferts Points plus complexes: qualification du prestataire, sécurité du Cloud 4

Les 7 étapes clés 1. Cartographie des données et des traitements 2. Définition des exigences de sécurité technique et juridique 3. Analyse de risques 4. Choix des modèles de services et de déploiement pertinents 5. Choix d un prestataire présentant des garanties suffisantes 6. Révision de la politique de sécurité interne 7. Surveillance des évolutions 5

Déterminer la qualification du prestataire Analyse factuelle : Faible niveau d instructions Absence de pouvoirs de contrôle Offres standardisées Contrats d adhésion En cas de responsabilité conjointe: nécessaire partage des responsabilités entre les parties 6

Sécurité : Principe de l Analyse de risques SSI et protection de la vie privée n ont pas le même objectif, une analyse des risques SSI ne permettra pas de répondre à toutes les questions relatives à la protection de la vie privée Elle ne permettra pas d étudier les impacts sur la vie privée et leur gravité. Elle sera néanmoins utile à la réflexion sur les menaces et donnera une idée de la robustesse du dispositif. Méthode de Gestion des risques Vie Privée Considérer les données à caractère personnel et les processus légaux ; Ajouter les impacts sur la vie privée des personnes concernées ; Déterminer des mesures respectueuses de la vie privée. Pour les responsables de traitement Pour les sous-traitants 7

Sécurité : Coopération du prestataire Donner les moyens au client d effectuer son analyse de risque : Accès à la politique de sécurité ; Mesures de sécurité et sûreté physique sur le site d hébergement ; Mesures assurant la disponibilité, l intégrité et la confidentialité des données ; Système de remontée des plaintes et des failles de sécurité ; Réversibilité/portabilité (futur droit à l interopérabilité) ; Traçabilité et information de toute anomalie détectée ; Engagement de niveaux de services («Service LevelAgreements» ) Certifications (ex : 27001) Engagement «vie privée» (ex : clauses, «Privacy LevelAgreement» du CSA) Lorsque le prestataire est sous-traitant, le client doit pouvoir procéder (ou faire procéder) à des audits. 8

Encadrer les transferts de données hors EEE Information sur la localisation des centres de données Encadrement des transferts : les BCR «sous-traitants», un outil adapté au Cloud Information en cas de demande d accès par des autorités étrangères 9

Conclusion Cartographie des données et des traitements Surveillance des évolutions Exigences de sécurité technique et juridique Révision de la politique de sécurité interne Analyse de risques Evaluation du Prestataire 10 Choix des modèles de services et de déploiement pertinents

Merci de votre attention! 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back