Les clauses sécurité dans un contrat de cloud



Documents pareils
Contractualiser la sécurité du cloud computing

Les clauses «sécurité» d'un contrat SaaS

Sécurité du cloud computing

Maîtriser ses données dans le cloud computing

Aspects juridiques des tests d'intrusion

Quelles assurances proposer? Focus sur le cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

MEYER & Partenaires Conseils en Propriété Industrielle

CONTRAT DE MAINTENANCE "Matériel informatique"

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

CONVENTION REGISTRE - BUREAU D ENREGISTREMENT

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Contrat d'hébergement application ERP/CRM - Dolihosting

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Applicable sur le site à compter du 1 Février 2015

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Le contrat Cloud : plus simple et plus dangereux

Conditions Générales de Vente et d'utilisation

CONDITIONS PARTICULIERES DE MESSAGERIE COLLABORATIVE - HOSTED EXCHANGE 2013

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

CONDITIONS GENERALES DE VENTE ET D UTILISATION A DISTANCE

Les prestations offertes par RedHeberg à titre gratuit sont également régies par les présentes conditions générales de service.

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 3 novembre 2009

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 01/07/2014

Conditions Générales de Vente

CONDITIONS PARTICULIERES APPLICABLES AUX SERVICES

Conditions Générales Location d équipements terminaux

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

Règlement de la consultation

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Menaces et sécurité préventive

Responsabilités juridiques et sécurité dans les accueils collectifs de mineurs

CONDITIONS PARTICULIERES

Guide pratique sur l'encadrement de la recherche biomédicale. La protection des droits de la personne

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

CONTRAT DE MAINTENANCE

COMMUNE DE SALAISE SUR SANNE DEPARTEMENT DE L ISERE

Cloud computing ET protection des données

CONDITIONS GÉNÉRALES DE VENTE

Conditions générales d abonnement en ligne et d utilisation du site

Décrets, arrêtés, circulaires

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

SERVICES DE TELECOMMUNICATION FIXE MOBILE INTERNET CAHIER DES CLAUSES TECHNIQUES PARTICULIERES CCTP

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 31/07/2013

Fiche de l'awt Contrat d'hébergement d'un site Web

CHARTE D UTILISATION DU SITE

R41 REGLE DE PRESCRIPTION. Télésécurité. Habitations Risques «standard» Edition (décembre 2000)

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

Comment formaliser une offre Cloud Computing vendable?

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

CONDITIONS GENERALES D'HEBERGEMENT D'UN SERVEUR DEDIE

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

Agilis.CRM On-Demand Conditions générales de vente Contrat de service

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Contrat de fourniture de services applicatifs (ASP)

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Mobilité et sécurité

terra CLOUD Description des prestations SaaS Backup

Portail clients GCC (GlobalSign Certificate Center) Conditions d'utilisation du service

Accord de prévoyance des personnels cadres et assimilés - mai 2011

NE PAS EXTERNALISER SA RESPONSABILITÉ

Gestion des incidents

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Conditions Générales Le cocontractant est seul responsable, notamment, de l'usage qu'il fait des résultats de l'intervention.

I. Conditions générales

ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB CONDITIONS GENERALES D'ADHESION AU SYSTEME DE PAIEMENT A DISTANCE PAR CARTES BANCAIRES CB

LE CONTENU DES MODALITÉS DE SERVICE

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

CONTRAT DE FOURNITURE DE SERVICES INFORMATIQUES EN MODE SaaS

Conditions Générales d'utilisation du compte V lille

1 - Les conditions légales et réglementaires

La politique de sécurité

1. Identification de l entreprise

INFOGERANCE. 1. Présentation de l infogérance Définition Pourquoi l infogérance?... 2

PROGRAMME DE FORMATION

CONDITIONS GENERALES DE VENTE

Contrat d'infogérance

Fiche méthodologique Rédiger un cahier des charges

CONTRAT DE MAINTENANCE APPLICATIVE

Loi modifiant la Loi sur l assurance automobile

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

Cegid OPEN SECURITE PREMIUM

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Dans le cadre de ses activités elle propose un service de gestion de Domaines pour Intenet : enregistrement et gestion

La procédure V.E.I. (Véhicules Economiquement Irréparables) Renforcer la sécurité routière en empêchant un véhicule ayant subi des dommages importants

LA CYBER COMPAGNIE 3 7 r u e g u i b a l M A R S E I L L E Tel : Site :

CONDITIONS GENERALES DE FOURNITURE DU SERVICE DE TELEPHONIE MOBILE SIMYO

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud Frédéric Connes Frédéric Connes <Frederic.Connes@hsc.fr>

Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité technique Sécurité organisationnelle Sécurité juridique (qualification OPQCM) 2/15

Plan Envoi des données Obligations du client Prérogatives du prestataire Données à caractère personnel Obligations de sécurité Confidentialité Convention de service attendu Audits de sécurité Réversibilité Résiliation Effacement des données 3/15

Envoi des données Du client vers le prestataire Le prestataire doit garantir l'intégrité et la confidentialité des données et des applications dès leur réception dans son système d'information (avant la bascule) Moyens techniques A préciser par le prestataire, mais non limitatifs Exemple : sauvegardes immédiates des données du client Garantir la continuité avec le système antérieur Lors de la bascule Notamment au niveau des mesures de sécurité mises en place 4/15

Obligations du client 5/15 Respecter les dispositions légales et réglementaires en vigueur Intrusion dans un système informatique, spamming, phishing... Propriété intellectuelle, vie privée, infractions de presse... Garantir la confidentialité des mots de passe attribués Agir promptement en cas de notification Responsabilité pénale en tant qu'hébergeur si en a la qualité Possibilité pour le prestataire de se substituer au client Agir promptement en cas d'attaque (déni de service...) Notamment : avertir le prestataire Sanctions Suspension, suppression du service, avec ou sans préavis

Prérogatives du prestataire Intervenir sur les données ou les applications du client En cas d'attaque ou de dysfonctionnement En cas de problème légal A l'occasion d'une maintenance? Si le client ne peut pas agir lui-même Urgence, client ne répond pas Client n'a pas la compétence technique pour intervenir Selon quelles modalités? Conditions à remplir pour accéder aux données et applications Indemnisation éventuelle du client en cas de dysfonctionnement consécutif à l'intervention? 6/15

Données à caractère personnel Préciser qui est responsable du traitement Le cas échéant, envisager d'avoir des co-responsables Préciser les sous-traitants Déterminer la loi applicable Préciser le lieu d'établissement et la localisation des moyens de traitement Prévoir les éventuels transferts de données hors UE Donc : savoir avec précision où sont et où vont les données Reprendre les obligations du responsable du traitement Formalités préalables, information, droit d'accès... 7/15

Obligations de sécurité A la charge du responsable de traitement Obligations de moyens Loi informatique et libertés, art. 34 et 35 Difficile d'imposer des obligations de résultat Le coût risquerait d'être prohibitif Mais prévoir des obligations de moyens renforcées Par des clauses spécifiques à la sécurité Précisant les moyens devant être mis en œuvre contractuellement Mettre «tous les moyens en œuvre pour garantir la sécurité» Apporter tout le soin et la diligence nécessaires à la fourniture d'un service conforme aux usages de la profession et à l'état de l'art 8/15

Confidentialité Possibilité pour le personnel du prestataire d'intervenir sur les machines ou les données du client Avec ou sans son accord Conditions d'accès aux données Personnes soumises à l'obligation de confidentialité Durée d'application de la clause Pendant toute la durée du contrat Combien de temps après la fin du contrat? Quels contrôles sont réalisés par le prestataire? Sur l'information des personnels Sur le respect des obligations de confidentialité 9/15

Convention de service attendu Service Level Agreement (SLA) Taux global de disponibilité En heures ouvrées/non ouvrées Durée cumulée des indisponibilités Nombre maximum d'indisponibilités Période retenue (jour, semaine, mois, trimestre, année...) GTI, GTR Exclusions Force majeure Maintenances et interventions programmées? Prévoir le délai de prévenance permettant l'exclusion Indemnisation prévue 10/15

Audits de sécurité Possibilité de faire des audits de sécurité Dépend du rapport de force entre le client et le prestataire Le client qui ne fait pas d'audits prend des risques Il doit faire entièrement confiance au prestataire Sa direction doit être informée des risques pris Définition du périmètre de l'audit et détermination de la périodicité Délai de prévenance Possibilité de le réduire en cas d'urgence Audits périodiques Modalités de l'audit (tests d'intrusion...) 11/15

Réversibilité Permettre au client de reprendre possession des données A tout moment, sans justification Délai de prévenance à prévoir Obligations du prestataire Apporter l'assistance nécessaire pour faciliter le transfert des données et des moyens de sécurité matériels et logiciels vers le client ou tout autre prestataire Garantir le service attendu et la sécurité des données et des applications pendant le transfert Assurer la prestation de service jusqu'au terme du contrat 12/15

Résiliation Prévoir les motifs de résiliation du contrat Manquement grave du prestataire à l'une des obligations de sécurité mises à sa charge par le contrat Disponibilité, confidentialité, intégrité Liste non exhaustive des manquements graves Mise en demeure du client de mettre fin au manquement Prévoir le délai Si le manquement n'est pas réparé dans le délai, le client peut résilier le contrat de plein droit Avec ou sans préavis Prévoir aussi des pénalités 13/15

Effacement des données Prévoir Lors de la résiliation En cours de contrat A l'expiration d'un délai A la demande du client Problèmes L'effacement physique est rarement complet (aucunes garanties) Sauf à utiliser des outils spécifiques (passes multiples) Il est difficile d'effacer dans Les architectures redondantes (combien de copies? localisation?) Les sauvegardes (nombre? localisation?) Les archives (où sont les données? En reste-t-il ailleurs?) 14/15

Conclusion Le contrat est fondamental pour la sécurité juridique Il doit être adapté aux parties et donc être rédigé sur mesure Il doit intégrer des clauses sécurité détaillées Ne pas faire confiance aux exemples de clauses que l'on trouve sur Internet Idéalement, faire appel à un juriste pour rédiger les clauses Réviser périodiquement les clauses sécurité du contrat en fonction De l'évolution de la relation contractuelle De l'évolution des techniques et de l'état de l'art en matière de cloud 15/15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back