La défaillance technique n’est pas un risque à exclure. Les fichiers et informations envoyées dans le cloud sont en définitive stockées sur des disques durs physiques au sein de data centers. Si la plupart des entreprises ont mis en place des processus de sauvegarde et de sécurisation de leurs installations matérielles, le risque zéro n’existe pas.
Héberger ses données uniquement en ligne n’est pas la garantie d’éloigner tout risque de perte. Plus que la suppression accidentelle, la simple perte d’identifiants peut bloquer l’accès à des documents personnels.
En général, il est conseillé d’avoir en permanence deux sauvegardes simultanées de ses fichiers.
Ces sauvegardes doivent bien entendu être placées sur:
- deux disques durs physiques différents stockés séparément (en cas de vol ou d’incendie)
- ou sur un disque physique ET en ligne
- ou sur deux services en ligne utilisant des prestataires différents.
Ceci est valable aussi bien pour le stockage personnel que pour le cloud computing. Dans ce deuxième cas, poser les questions à votre fournisseur sur la sécurité et la confidentialité de ses serveurs.
Vos données relèvent du régime juridique local où est implanté le site de stockage et c’est le propriétaire des données qui est tenu responsable en cas d’infraction à la législation. De plus, certains secteurs comme la banque sont soumis à une réglementation très exigeante en matière de contrôle interne (visibilité parfaite du lieu de stockage réel des données). Les fournisseurs de cloud doivent se plier à toutes les demandes d’audit externes et disposer de toutes les certifications de sécurité nécessaires pour que leurs clients aient la certitude d’être couverts.
Lire à ce sujet les obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques y afférentes (article 35 de la loi Informatique et Libertés) et un article sur la tribune relatant les problématiques du « cloud computing » à la française – 22/12/2011
Même s’il existe différents types de cloud (privé, public ou communautaire), Cloud computing rime avec partage des données et donc fait peser des menaces sur la confidentialité des données. Il faut s’assurer chez le prestataire choisi, que le cryptage des données est correct et qu’il est possible de les isoler techniquement. Un cryptage déficient peut entrainer une perte irréversible des données. Autre point important à vérifier chez le prestataire, le choix des personnels qui ont accès à vos données. “Une clause de confidentialité doit être détaillée dans son champ d’application matériel (personnes qui doivent respecter cette obligation, contenu de l’obligation), temporel et devrait être complétée d’une clause pénale (ou clause de dommages-intérêts en faveur du client), sanctionnant en sus tout manquement constaté par le prestataire ou son personnel.“
Avec la multiplication des services d’hébergement de données, il est primordial de bien regarder ces points de sécurité.
Lire à ce sujet l’article sur Dropbox et ses erreurs de cryptage.
Plusieurs raisons peuvent inciter à changer de fournisseur : faillite de celui-ci, absorption dans une autre entité, ou juste insatisfaction quant au service. Quoi qu’il en soit, vous devez prévoir la reversibilité de vos données de manière très précise (conditions, délais, formats) dans le contrat originel. Après, il sera trop tard.