06.08.2013 16:46 (Mélanie Haab)
Conditions générales

Les contrats cloud ont besoin de plus de transparence

dr
(Source: Fotolia)
Le cabinet d’étude Gartner recommande de bien observer les conditions avant de transférer ses données dans un cloud. Sécurité, récupération, niveau de service, compensation financière sont les mots-clés à vérifier avant de s’engager.

A l’heure où le recours au cloud se généralise, en entreprise et chez les privés, le cabinet d’étude Gartner émet quelques recommandations afin que le stockage se déroule sans soucis. Les services SaaS, notamment, offrent des niveaux de sécurité insuffisants. Leurs contrats contiennent souvent des termes ambigus concernant la confidentialité des données, leur intégrité et leur récupération après un incident entraînant la perte de documents.

D’ici 2015, 80% des utilisateurs IT devraient rester insatisfaits des services proposés en termes de sécurité. A eux de veiller à ce que les contrats SaaS soient audités chaque année par une personne indépendante, en conservant la possibilité de casser le contrat en cas de violation de la sécurité due à une faute du fournisseur.

Le Cloud Security Alliance n’a pas attendu cette conclusion. Il propose une check-list des principaux points délicats. «Plus les acheteurs exigeront que les fournisseurs s’y soumettent, plus ceux-ci deviendront le standard et il deviendra commun d’effectuer des évaluations régulières», estime Alexa Bona, vice présidente et analyste distinguée chez Gartner. 

L’autre erreur fréquente est de supposer qu’avec n’importe quel type de contrat, la sécurité et la récupération des données soient suffisantes. «Les spécialistes IT attendent que leurs données soient protégées contre les attaques et récupérables en cas d’incident. Ils doivent s’assurer que leur fournisseur ait l’obligation contractuelle de le leur garantir, dans un laps de temps défini qui, s’il est dépassé, conduit à une amende.»

Comme il n’existe pas de normes de sécurité, les fournisseurs proposent en général le strict minimum. Il faut alors s’assurer que le niveau de sécurité que l’on souhaite soit bien défini, par écrit, dans le contrat.

Enfin, les compensations financière en cas de perte peuvent aussi figurer sur le papier. «Le SaaS est une situation unique dans laquelle une défaillance du prestataire de service pourrait avoir un impact sur des milliers de clients simultanément. Il représente donc un risque financier important», souligne Alexa Bona. Cela ne va pas de soi, les fournisseurs ne proposent souvent pas de dédommagement. Gartner recommande de prolonger la garantie de 12 à 36 mois. Il s’agit de rediscuter régulièrement des termes du contrat, pour que la couverture des risques soit suffisante.

A l’heure où le recours au cloud se généralise, en entreprise et chez les privés, le cabinet d’étude Gartner émet quelques recommandations afin que le stockage se déroule sans soucis. Les services SaaS, notamment, offrent des niveaux de sécurité insuffisants. Leurs contrats contiennent souvent des termes ambigus concernant la confidentialité des données, leur intégrité et leur récupération après un incident entraînant la perte de documents.

D’ici 2015, 80% des utilisateurs IT devraient rester insatisfaits des services proposés en termes de sécurité. A eux de veiller à ce que les contrats SaaS soient audités chaque année par une personne indépendante, en conservant la possibilité de casser le contrat en cas de violation de la sécurité due à une faute du fournisseur.

Le Cloud Security Alliance n’a pas attendu cette conclusion. Il propose une check-list des principaux points délicats. «Plus les acheteurs exigeront que les fournisseurs s’y soumettent, plus ceux-ci deviendront le standard et il deviendra commun d’effectuer des évaluations régulières», estime Alexa Bona, vice présidente et analyste distinguée chez Gartner. 

L’autre erreur fréquente est de supposer qu’avec n’importe quel type de contrat, la sécurité et la récupération des données soient suffisantes. «Les spécialistes IT attendent que leurs données soient protégées contre les attaques et récupérables en cas d’incident. Ils doivent s’assurer que leur fournisseur ait l’obligation contractuelle de le leur garantir, dans un laps de temps défini qui, s’il est dépassé, conduit à une amende.»

Comme il n’existe pas de normes de sécurité, les fournisseurs proposent en général le strict minimum. Il faut alors s’assurer que le niveau de sécurité que l’on souhaite soit bien défini, par écrit, dans le contrat.

© Netzmedien AG 2014
La reproduction ou la diffusion de tout ou partie d’articles, d’images ou de publicités est formellement interdite sauf autorisation expresse de l’éditeur.

Source URL (Extrait le 17.09.2014 11:29):

http://www.ictjournal.ch/News/2013/08/06/Les-contrats-cloud-ont-besoin-de-plus-de-transparence.aspx