La conception du bâtiment représente déjà un premier niveau de protection : matériaux utilisés, absence de fenêtres, absence de poignées de portes à l’extérieur, épaisseur des murs, installation d’un paratonnerre... /crédit DepositPhoto
Suite à cet incendie, 3,6 millions de sites web ont été indisponibles pour des durées plus ou moins importantes.
De plus en plus d’entreprises utilisent des services de stockage de données à distance. Ces services peuvent concerner des sites Internet, mais également les bases de données des entreprises ou encore leurs serveurs de messagerie électronique.
Ces serveurs de stockage à distance sont communément appelés data centers ou centres de données. Il s’agit d’emplacements dédiés regroupant de très nombreux serveurs et proposant une infrastructure réseau et des dispositifs de sécurité.
Certaines entreprises possèdent leurs propres data centers, mais il s’agit principalement de très grandes structures, comme celles du CAC40 en France, Facebook ou Google. Le recours à des centres de données en location présente de nombreux avantages pour les entreprises de taille plus réduite.
Cette solution leur permet de ne pas investir en interne, que ce soit au niveau du matériel ou des compétences humaines nécessaires. Les solutions proposées apportent des garanties de sécurité souvent plus importantes que celles qui pourraient être mises en place en utilisant leurs propres ressources.
De multiples facteurs expliquent le positionnement des serveurs. Afin d’optimiser la vitesse de connexion, les serveurs doivent se situer au plus près des clients. C’est la raison pour laquelle, en France, la région parisienne est très prisée. Des motivations fiscales peuvent aussi influer sur la décision d’implantation.
C’est pourquoi l’Irlande accueille de nombreux data centers. Enfin, le climat est un facteur important à prendre en considération, une bonne partie de l’énergie utilisée étant dédiée au procédé de refroidissement. Les pays du nord de l’Europe présentent un avantage sur ce point.
Bien que peu affichée par les fournisseurs, la localisation des serveurs est très importante pour des raisons juridiques. En effet, sauf indication contraire dans le contrat, les règles de confidentialité qui s’appliquent sont celles du pays dans lequel les données sont stockées !
Au-delà d’une éventuelle perte de contrôle de l’usage fait des données, une telle situation peut amener l’entreprise cliente à ne plus être en conformité avec la loi RGPD (Règlement général sur la protection des données).
Cette loi a pour objectif de garantir l’usage fait des données personnelles et s’applique pour l’ensemble de l’Union européenne. Les propriétaires des données personnelles doivent être informés de l’usage fait de leurs données et doivent pouvoir s’y opposer le cas échéant.
Le respect de cette loi est rendu difficile par le Patriot Act américain, qui permet aux autorités américaines d’accéder aux données européennes hébergées sur des infrastructures de stockage américaines, quel que soit leur emplacement géographique.
Suite à l’incendie survenu chez OVH, de nombreux clients ont accusé l’entreprise de ne pas avoir suffisamment protégé leurs données. Quelles sont les précautions à mettre en place pour éviter toute perte de données ? Et quelle est la responsabilité du fournisseur ?
La sécurisation des données stockées comporte deux facettes : tout d’abord, les données doivent être protégées en cas d’incident physique sur les serveurs. Les protections mises en place doivent permettre d’éviter les risques d’intrusion, ou encore les conséquences d’un incendie ou d’une catastrophe naturelle.
Le stockage de données à distance
De plus en plus d’entreprises utilisent des services de stockage de données à distance. Ces services peuvent concerner des sites Internet, mais également les bases de données des entreprises ou encore leurs serveurs de messagerie électronique.
Ces serveurs de stockage à distance sont communément appelés data centers ou centres de données. Il s’agit d’emplacements dédiés regroupant de très nombreux serveurs et proposant une infrastructure réseau et des dispositifs de sécurité.
Certaines entreprises possèdent leurs propres data centers, mais il s’agit principalement de très grandes structures, comme celles du CAC40 en France, Facebook ou Google. Le recours à des centres de données en location présente de nombreux avantages pour les entreprises de taille plus réduite.
Cette solution leur permet de ne pas investir en interne, que ce soit au niveau du matériel ou des compétences humaines nécessaires. Les solutions proposées apportent des garanties de sécurité souvent plus importantes que celles qui pourraient être mises en place en utilisant leurs propres ressources.
Où se situent les data centers ?
Les emplacements de ces serveurs restent souvent confidentiels, et l’entreprise cliente n’a pas toujours cette information. Google et Amazon, les deux principaux fournisseurs du secteur, présentent sur leurs sites des cartes indiquant les emplacements de leurs serveurs.
Les États-Unis et l’Europe du Nord sont les deux emplacements les plus prisés par ces fournisseurs. Les États-Unis à eux seuls comptent plus du tiers des centres de données existants.
De multiples facteurs expliquent le positionnement des serveurs. Afin d’optimiser la vitesse de connexion, les serveurs doivent se situer au plus près des clients. C’est la raison pour laquelle, en France, la région parisienne est très prisée. Des motivations fiscales peuvent aussi influer sur la décision d’implantation.
C’est pourquoi l’Irlande accueille de nombreux data centers. Enfin, le climat est un facteur important à prendre en considération, une bonne partie de l’énergie utilisée étant dédiée au procédé de refroidissement. Les pays du nord de l’Europe présentent un avantage sur ce point.
Bien que peu affichée par les fournisseurs, la localisation des serveurs est très importante pour des raisons juridiques. En effet, sauf indication contraire dans le contrat, les règles de confidentialité qui s’appliquent sont celles du pays dans lequel les données sont stockées !
Au-delà d’une éventuelle perte de contrôle de l’usage fait des données, une telle situation peut amener l’entreprise cliente à ne plus être en conformité avec la loi RGPD (Règlement général sur la protection des données).
Cette loi a pour objectif de garantir l’usage fait des données personnelles et s’applique pour l’ensemble de l’Union européenne. Les propriétaires des données personnelles doivent être informés de l’usage fait de leurs données et doivent pouvoir s’y opposer le cas échéant.
Le respect de cette loi est rendu difficile par le Patriot Act américain, qui permet aux autorités américaines d’accéder aux données européennes hébergées sur des infrastructures de stockage américaines, quel que soit leur emplacement géographique.
Comment assurer la sécurité des données stockées ?
Suite à l’incendie survenu chez OVH, de nombreux clients ont accusé l’entreprise de ne pas avoir suffisamment protégé leurs données. Quelles sont les précautions à mettre en place pour éviter toute perte de données ? Et quelle est la responsabilité du fournisseur ?
La sécurisation des données stockées comporte deux facettes : tout d’abord, les données doivent être protégées en cas d’incident physique sur les serveurs. Les protections mises en place doivent permettre d’éviter les risques d’intrusion, ou encore les conséquences d’un incendie ou d’une catastrophe naturelle.
Autres articles
-
Données personnelles : comment nous avons peu à peu accepté d’en perdre le contrôle
-
Europe : vers un espace commun de la data sur le tourisme ?
-
Parole de Travel Manager : "NDC n’est pas une solution que l'on emploie aujourd’hui"
-
Données personnelles : les Français parmi les moins préoccupés de leur utilisation
-
Grâce à Google, Sabre espère automatiser la distribution des agences de voyages, mais comment ?
La conception du bâtiment représente déjà un premier niveau de protection : matériaux utilisés, absence de fenêtres, absence de poignées de portes à l’extérieur, épaisseur des murs, installation d’un paratonnerre, présence d’un système de refroidissement ou encore dispositifs anti-incendie sont des éléments clés de ce dispositif. Le fournisseur de service a, dans ce domaine, une obligation de moyen, et non de résultat.
En complément, une surveillance stricte et un contrôle des accès sont mis en place, garantissant une réactivité forte en cas d’incident.
La protection des données repose également sur un contrôle des accès à distance. Seules les personnes autorisées doivent pouvoir accéder aux données et une politique stricte de gestion des mots de passe doit être élaborée (règles strictes sur les mots de passe acceptés, changement de mot de passe à intervalles réguliers).
Les serveurs sont équipés d’antivirus et de pare-feu (outil qui permet de filtrer le trafic entrant dans un serveur ou un ordinateur) pour éviter les piratages. Les systèmes mis en place proposent par ailleurs des solutions pour lutter contre les attaques par déni de service (DDos) : il s’agit d’une hyper sollicitation des serveurs pour nuire à leur bon fonctionnement.
Ces solutions ne sont malheureusement pas proposées par tous les prestataires. Enfin, la gestion du centre de données repose sur des mises à jour très régulières du matériel pour éviter toute faille de sécurité.
Un incident peut survenir en dépit de toutes ces précautions. Comme la mésaventure de l’entreprise OVH le démontre, les clients victimes de pertes de données se retournent facilement vers leur fournisseur de service. Mais quelle est la responsabilité du fournisseur dans une telle situation ?
La responsabilité de la conception d’un Plan de Reprise d’Activité incombe aux entreprises clientes, et non au fournisseur de service cloud ou à l’hébergeur.
Ce dernier n’est engagé que dans les limites fixées par le contrat, et avec une obligation de moyen et non de résultat. Le Plan de Reprise d’Activité permet d’anticiper les actions à effectuer en cas de rupture d’un service, et d’optimiser la durée nécessaire pour remettre en service les équipements et logiciels informatiques essentiels pour l’entreprise. Un tel plan envisage la reconstruction de l’infrastructure informatique ainsi que les besoins humains, matériels et financiers pour y parvenir.
En complément, une surveillance stricte et un contrôle des accès sont mis en place, garantissant une réactivité forte en cas d’incident.
La protection des données repose également sur un contrôle des accès à distance. Seules les personnes autorisées doivent pouvoir accéder aux données et une politique stricte de gestion des mots de passe doit être élaborée (règles strictes sur les mots de passe acceptés, changement de mot de passe à intervalles réguliers).
Les serveurs sont équipés d’antivirus et de pare-feu (outil qui permet de filtrer le trafic entrant dans un serveur ou un ordinateur) pour éviter les piratages. Les systèmes mis en place proposent par ailleurs des solutions pour lutter contre les attaques par déni de service (DDos) : il s’agit d’une hyper sollicitation des serveurs pour nuire à leur bon fonctionnement.
Ces solutions ne sont malheureusement pas proposées par tous les prestataires. Enfin, la gestion du centre de données repose sur des mises à jour très régulières du matériel pour éviter toute faille de sécurité.
Un incident peut survenir en dépit de toutes ces précautions. Comme la mésaventure de l’entreprise OVH le démontre, les clients victimes de pertes de données se retournent facilement vers leur fournisseur de service. Mais quelle est la responsabilité du fournisseur dans une telle situation ?
La responsabilité de la conception d’un Plan de Reprise d’Activité incombe aux entreprises clientes, et non au fournisseur de service cloud ou à l’hébergeur.
Ce dernier n’est engagé que dans les limites fixées par le contrat, et avec une obligation de moyen et non de résultat. Le Plan de Reprise d’Activité permet d’anticiper les actions à effectuer en cas de rupture d’un service, et d’optimiser la durée nécessaire pour remettre en service les équipements et logiciels informatiques essentiels pour l’entreprise. Un tel plan envisage la reconstruction de l’infrastructure informatique ainsi que les besoins humains, matériels et financiers pour y parvenir.
Au-delà de ce plan, il est primordial pour l’entreprise utilisatrice de s’assurer que les données sont dupliquées, et sur des sites géographiques différents. Les fournisseurs de cloud proposent de nombreuses offres, et il convient pour l’entreprise de bien lire les différentes caractéristiques des contrats pour s’assurer de choisir la solution la plus adaptée à leurs besoins.
Delphine Billouard-Fuentes, Professeur associé, EM Lyon
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
