présentation de l’entreprise€™entreprise, krios applique les meilleures pratiques du domaine...
TRANSCRIPT
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Présentation de l’entreprise
Krios, l’informatique en liberté
Certifiée ISO 9001 et 27001, Krios est spécialisée dans l’intégration, le développement et l’hébergement de solutions informatiques. Qu’il s’agisse d’installer un parc informatique ou d’héberger le système d’information
d’entreprise, Krios applique les meilleures pratiques du domaine pour apporter des solutions évolutives et adaptées
aux besoins spécifiques de chaque entreprise.
Parmi les leaders suisses de la fourniture de services de Cloud Computing, Krios investit depuis plus de 10 ans dans
la fourniture de service hébergés sur mesure pour les entreprises de toutes tailles.
Hébergement 100% Suisse
sécurisé, flexible et performant
Hébergement de sites Internet,
Email, Exchange, Bureau distant
SwissDesk™, VDI, services Cloud,
Sauvegardes, Sécurité et tout
autre service ou application.
Plateforme applicative
facile et efficace
Développement de solutions sur
mesure, suivi clients, gestion d’entreprise, gestion électronique
de documents, solution métier
pour notaires.
Service informatique
disponible et proactif
Analyse, conseil, vente,
installation, gestion de projets, ingénierie, amélioration continue,
helpdesk, dépannage, assistance,
maintenance et infogérance.
KRIOS Suisse SA, créée en janvier 2004, est une société suisse avec capitaux helvétiques.
Société suisse inscrite au Registre du Commerce de Sion (VS) sous le n° CH-626.4.009.167-5.
Siège social à 1950 Sion, Blancherie 6. Krios possède une succursale à Neuchâtel ainsi qu’une filiale située à Nyon.
La société est autofinancée depuis sa création. Elle est neutre et indépendante de tout fournisseur informatique.
La direction et le conseil d’administration de Krios :
Christophe Savio Directeur général
Thierry Mottiez Directeur commercial Yan Pardo Directeur technique
Me Sébastien Fanti Avocat et notaire axé sur les nouvelles technologies et l'Internet.
Préposé cantonal valaisan à la protection des données
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Charte Qualité et Sécurité de l’information
Krios, l’informatique en liberté
Engagement
Krios s’engage à fournir des solutions durables pour
l’ensemble des problématiques liées aux systèmes
d’informations.
Krios se veut un partenaire de confiance, à l’écoute de
ses clients, apte à améliorer ses services professionnels au quotidien et à répondre, grâce à des solutions
pérennes et des coûts abordables, aux attentes des
PME, dans la simplicité et l’efficience.
Soucieuse de l’épanouissement de ses collaborateurs,
Krios leur propose une formation continue dans divers
domaines.
Compétence et innovation Krios propose des solutions innovatrices, efficaces et
économiques.
Krios maîtrise l’ensemble des solutions proposées en
interne dans le but d’offrir une qualité de service, une
flexibilité et une réactivité unique.
Krios poursuit une politique d’autofinancement et
investit activement dans la recherche et le développement de nouvelles technologies afin d’offrir
à ses clients les meilleures solutions et processus aux
justes prix.
Krios développe ses propres solutions basées sur les
évolutions les plus récentes et les plus performantes
de la gestion informatique. Krios dispose pour cela de
ses propres infrastructures dans ses locaux sécurisés.
Qualité et sécurité de l’information
Pérennité, fiabilité et amélioration continue sont des
critères essentiels pour définir les prestations de Krios.
La maîtrise des processus internes permet à Krios
d’assurer la qualité des services fournis, tout en
garantissant la sécurité et la confidentialité des
données selon les exigences de la norme internationale ISO 9001.
Chez Krios, la sécurité de l’information est représentée
par des moyens techniques, organisationnels,
juridiques et humains. Elle est liée au système de la
sécurité de l’information qui répond aux exigences de
la norme internationale ISO 27001. Les différentes
politiques rattachées à cette gestion permettent
d’assurer l’intégralité, la disponibilité et la
confidentialité de l’information.
Approche processus
Dans l'optique de son système de management de la
qualité selon ISO 9001 et de la sécurité selon ISO
27001, Krios a défini les processus suivants :
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Infrastructure et service haute disponibilité
Krios, l’informatique en liberté
Performances accrues, amélioration continue, utilisation rationnelle des ressources et respect de l'environnement
sont les maîtres mots. Depuis 2007, Krios investit plus de 100kCHF par an pour le développement de son cloud
privé qu’elle met à disposition de l’ensemble de ses clients sous forme d’IaaS (infrastructure en tant que service),
de PaaS (plateforme en tant que service) ou de SaaS (Software en tant que service).
Transit internet Swisscom et Sunrise
Protection DDoS
Routeur BGP redondant sur deux sites
Firewall Fortinet redondant, Antivirus, IPS
Switch Cisco Nexus redondant
Stockage SAN Fiber Channel
Monitoring 24h/24 et 7j/7 des systèmes
Service de piquet et helpdesk 24h/24 et 7j/7
SLA 99.9%, PRA/PCA
Sauvegarde quotidienne des serveurs
Données et sauvegardes répliquées sur deux SAN
en miroir synchrone sur deux sites
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Data Center
Krios, l’informatique en liberté
L’infrastructure informatique de Krios, reposant dans deux Data Centers situés à Lausanne (Tier III) et Sion (Tier II),
répond aux plus hautes exigences dans le domaine de la fourniture de services informatiques.
Telehousing Swisscom Metro et Krios
Haut niveau de sécurité certifié par les banques
Tous les composants de l’infrastructure sont
redondants (alimentation électrique, UPS,
refroidissement et réseau)
Protection contre l’incendie, le sabotage,
l’effraction, les impulsions électromagnétiques
Vidéosurveillance et contrôle d’accès
Monitoring 24h/24 et 7j/7 des systèmes
Certifications, normes ISO 27001, ISO 9001, ISO
14001, ISO 20000, conforme FINMA (ISAE 3402
et ISAE 3000)
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Compétences
Krios, l’informatique en liberté
Le groupe KRIOS Suisse SA
Yan Pardo Ingénieur HES Directeur technique
Thierry Mottiez Brevet fédéral Directeur commercial
Christophe Savio CFC Directeur général
Eric Lechat Ingénieur en informatique Directeur filiale Helvetec SA (Nyon)
Me Sébastien Fanti Avocat/Notaire et préposé cantonal valaisan à la protection des données
Frédéric Papilloud CFC Chef d’équipe
Kristel Gauthier Employée de commerce Administration
Jérémie Arlettaz Informaticien de gestion HES Développeur
Stéphane Donnet Informaticien de gestion HES Développeur
Stéphane Bréguet CFC Technicien, ingénieur système
Thomas Correia Informaticien de gestion HES Technicien, ingénieur système Michaël Epiney CFC Technicien, administrateur système
Alexandre Georges Ingénieur EPFL Ingénieur télécom
Benjamin Wüthrich Technicien ES Technicien, administrateur système
Eloi Mawussi Informaticien Technicien, ingénieur système
+ 3 apprentis
Langues prises en charge : français, allemand, anglais, espagnol.
.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Références
Krios, l’informatique en liberté
Editeur de logiciel
Fiduciaire
Social et éducation
Notariat et finance
Energie et construction
Divers
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Cloud computing / ITaaS
Krios, l’informatique en liberté
De plus en plus d’entreprises, d’autorités et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur l’informatique en « nuage » (cloud computing). Les applications et les données ne se trouvent
donc plus sur les réseaux internes, mais dans le « nuage », et l’accès aux données, aux services et à l’infrastructure se
fait à distance.
Le principe du cloud computing (ou nuage informatique) consiste à déporter sur un serveur distant les données
habituellement conservées sur un ordinateur, un serveur ou un disque dur local. Il permet de sauvegarder des
documents en ligne ou d’accéder à des logiciels hébergés et gérés sur des serveurs externes. Il s’agit également
d’espaces de travail collaboratifs, dans lesquels plusieurs personnes peuvent partager et modifier des documents en même temps et depuis n’importe quel endroit en mode connecté. Si la dématérialisation des données et le stockage en
ligne existent depuis plusieurs années déjà, de plus en plus de petites et moyennes entreprises suisses font désormais
appel à ce type de solutions.
Ainsi, une étude récente du cabinet spécialisé MSM Research montre que les dépenses en matière de cloud computing
sur le marché suisse vont passer de CHF 465,3 millions en 2013 à CHF 974,8 millions en 2015, soit une augmentation
de près de 110%.
A l’intérêt financier s’ajoutent une facilité de mise en œuvre et une réactivité qui permettent de modifier rapidement
les ressources informatiques à disposition d’une entreprise.
Des dizaines de sociétés suisses se disputent aujourd’hui un marché jusqu’alors dominé par les multinationales
américaines. Les révélations sur les divers programmes du gouvernement américain visant à lire et à décoder les
informations sensibles stockées en ligne semblent avoir joué un rôle.
"Tout recours à des firmes américaines est formellement déconseillé, souligne Sébastien Fanti, avocat à Sion et
spécialiste des nouvelles technologies. Car celui qui fait appel à des services cloud doit pouvoir auditer son prestataire,
ce qui est impossible dans la pratique avec, par exemple, une firme comme Google, qui refuse de répondre s’agissant
de la localisation exacte des données. Il n’y a guère que les prestataires suisses qui respectent le canevas légal général."
Si le cloud computing offre de nombreux avantages pour une petite ou moyenne entreprise, l’analyse des risques est
un aspect à ne pas négliger. Ce mode de traitement des données implique grosso modo que les logiciels, la mémoire ou les capacités de calcul soient utilisées en réseau selon les besoins, par ex. sur Internet ou au sein d'un réseau privé
virtuel. En d'autres termes, ces capacités sont louées: l'environnement informatique (centre de calculs, espaces de
stockage, logiciels de messagerie et de collaboration, environnements de développement et logiciels spéciaux tels que
la gestion des relations avec la clientèle) n'est plus la propriété de l'entreprise ou de l'autorité et n'est plus géré par
celles-ci, mais est loué à un ou plusieurs prestataires de services.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Organisation
On distingue les nuages privés, publics, hybrides et communautaires :
Dans un nuage public, l'infrastructure est entièrement définie et gérée par le prestataire: l'utilisateur du
nuage n'a pas droit au chapitre et ne peut par exemple exercer aucune influence sur la localisation des
serveurs.
Dans un nuage privé, en revanche, c'est l'entreprise elle-même ou un tiers qui exploite le nuage et celui-ci
est toujours adapté aux besoins de l'entreprise. Cette deuxième solution est beaucoup plus sûre que la première, mais elle est aussi plus chère.
Si une entreprise utilise conjointement un nuage public et un nuage privé, on parle de nuage hybride.
Enfin, un nuage communautaire permet à plusieurs organisations d'utiliser la même infrastructure.
Types d'offres
Les offres portent sur l'infrastructure, sur la plateforme et sur les logiciels :
Les offres dites d'«infrastructure en tant que service» (IaaS) correspond à la fourniture de Data center virtuel : le
prestataire met à la disposition des utilisateurs les ressources système (processeur, mémoire, disques, réseau) en nuage
pour exploiter des données ou des applications. Dans ce type d'offres, le prestataire est uniquement responsable du
fonctionnement du réseau, de l'accès et du matériel.
Les offres dites de «plateforme en tant que service» (PaaS) concernent à la fourniture de serveur virtuel sur mesure :
l’utilisateur développe et maintient une application pour la mettre à la disposition de ces clients finaux. L'utilisateur gère alors seul les données au moyen de cette application et choisi le niveau de service qu’il a besoin avec la Plateforme mise
à disposition.
Enfin, dans les offres dites de «logiciel en tant que service» (SaaS), l'utilisateur n'est qu'un consommateur dans le nuage
: il ne gère rien lui-même, ni les applications ni les données, et a seulement accès aux fonctionnalités définies par le
prestataire pour traiter les données dans le nuage.
Les raisons principales de l'utilisation des systèmes d'informatique en nuage sont la réduction des coûts d'infrastructure informatique et de logiciels, la mise à jour des logiciels sur demande, une plus grande capacité de calcul, un espace de
stockage des données dynamique (la mémoire louée dans le nuage augmente ou se réduit en fonction des données
qui y sont enregistrées), la mobilité, la simplicité et la rapidité de l'accès aux données, l'extensibilité du système et, dans
certains cas, l'amélioration de la sécurité.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Pourquoi choisir le cloud privé et les services de Krios
Au 21e siècle, les données d'une société concernant le personnel, les affaires, les clients, les salaires, les poursuites, les
transactions, la comptabilité, la fiscalité, les secrets de fabrication, etc. sont d'une importance capitale. En principe
stockées sous forme électronique sur des serveurs ou des ordinateurs individuels, ces données peuvent aussi être
hébergées ailleurs, par exemple sur le cloud.
Stocker les données de sa société sur le cloud n'est pas une chose à prendre à la légère. En effet, la société va confier des données personnelles et organisationnelles à un tiers qui sera contractuellement chargé de les collecter, de les
stocker ou plutôt, de manière générale, de les traiter. Comme les données sortent de la maitrise effective de la société,
cette dernière doit au préalable s'assurer qu'elles seront bien traitées.
Krios est une société suisse au capital totalement helvétique. Les données sont hébergées exclusivement en Suisse et
donc soumises au droit suisse. Même s’il est envisageable que le gouvernement ou la justice suisse demandent à avoir
accès aux données, il est plus facile de s’y opposer ou de faire valoir ses droits, le cas échéant.
Si les données sont hébergées en Suisse, la loi sur la protection des données (LPD) sera applicable. La LPD énonce un
certain nombre de principes et de dispositions relatives au traitement des données par des personnes privées qui
pourront, le cas échéant, permettre d'attaquer en justice ou de faire valoir ses droits contre toute atteinte à la
personnalité ou contre tout traitement de données non autorisé.
Il est par contre difficile de faire valoir ses droits à l’étranger depuis la Suisse. En utilisant des services comme DropBox,
GoogleDrive, OneDrive, iCloud ou autre service de sociétés américaines, soumises au droit américain, le gouvernement américain peut accéder aux données sur demande auprès du fournisseur, sans préavis et opposition possible.
L’hébergement de données aux Etats-Unis pose un autre problème. Dans ce pays, il n’existe pas de loi sur la protection
des données, même si l'Union européenne et la Suisse ont conclu des accords avec les États-Unis (appelés safe harbors).
Ces safe harbors sont là pour permettre aux sociétés américaines de traiter des données personnelles provenant
d'Europe pour autant que ces sociétés disposent de standards adéquats de protection de la vie privée et des données
personnelles. Ces safe harbors ne sont pas contraignants de facto, les sociétés ont la possibilité de rejoindre ces
programmes, mais n'y sont pas obligées (bien que ce soit recommandé).
Les risques de l'informatique liés à la délocalisation de données
À cet égard, Krios apporte des solutions et des garanties :
Perte de contrôle sur les données
Le maître des données sait que ses données sont exclusivement stockées en Suisse, dans le cloud privé de Krios,
réparti sur deux Data centers. Krios veille à une protection adéquate des données. L'utilisateur peut donc assumer ses obligations en matière de protection des données (garantir la sécurité et la confidentialité des données,
accorder un droit d'accès, corriger ou effacer des données).
Manque de séparation et d'isolation des données
L'informatique hébergée implique que les données de plusieurs utilisateurs qui n'ont aucun lien entre eux soient
traitées dans le même environnement et par le même système (architecture partagée). Cela augmente le risque
qu'une attaque contre un des utilisateurs affecte également les autres. Krios met un point d’honneur à tout mettre
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
en œuvre pour limiter ce risque en appliquant des procédures internes strictes et en se dotant des meilleurs outils
informatiques.
Non-respect des dispositions légales
L’infrastructure de Krios fonctionne dans des Data centers exclusivement situé en Suisse, ce qui garanti que
l’ensemble des services fournis sont soumis au droit suisse. Ainsi, le prestataire, tout comme les entreprises et les
autorités qui ont recours à de tels services répondent au respect des mêmes règles en matière de protection des
données.
Accès d'autorités étrangères aux données
Les données destinées à être traitées dans le nuage ne sont en aucun cas communiquées à l'étranger par Krios.
Captivité
Krios a recours à une technologie et à une interface standardisée, le rapatriement des données dans le système
informatique de l'utilisateur ou leur migration dans le nuage d'un autre prestataire est donc facilement
envisageable.
Les risques communs, que les données soient hébergées ou non
Perte de données
Krios sauvegarde l’ensemble des données hébergées sur des systèmes de stockage tiers, également localisés dans
ses Data Centers en Suisse. L’ensemble des systèmes de stockage haut de gamme sont gérés avec la plus grande
sécurité afin d’éviter toute perte de données.
Pannes de système et de réseau et non-disponibilité des ressources et des services
L’ensemble des équipements critiques sont redondants et répartis sur deux sites distants de plus de 100 km. Une
panne n’a donc en principe aucune incidence sur la disponibilité des services et ne peut donc pas entrainer de
pertes de données (la sécurité et l'intégrité des données sont alors garanties).
Usage abusif des données
Dans le cadre de l’analyse régulière des risques relative à la confidentialité et la sécurité des données (ISO 27001), Krios s’assure que les droits d'accès (physiques et virtuels) des employés soient conformes et sous surveillance.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
L'utilisation de services hébergés du point de vue de la protection des données
Krios est régulièrement audité par rapport à ses certifications ISO 9001 et ISO 27001 qui englobent, notamment,
les dispositions sur la protection des données applicables en Suisse. Krios protège les données contre les risques
suivants : destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou
utilisation illicite; modification, copie, accès ou autre traitement non autorisés.
Du point de vue du droit de la protection des données, le traitement de données personnelles découlant de l'utilisation de l'informatique en nuage relève normalement du traitement de données par un tiers au sens de l'art.
10a LPD. Aux termes de cet article, le traitement de données personnelles peut être confié à un tiers (en
l'occurrence, le prestataire de services) pour autant qu'une convention ou que la loi le prévoie et que les conditions
suivantes sont remplies: seules les traitements que le mandant (en l'occurrence, l'utilisateur du service) serait en
droit d'effectuer lui-même sont effectués et aucune obligation légale ou contractuelle de garder le secret ne
l'interdit. Le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données.
L'utilisateur du service doit s'assurer que le prestataire (le tiers) garantit la sécurité des données au sens de l'art. 7 LPD et des art. 8 ss et 20 ss OLPD. Ces dispositions prévoient que les données personnelles doivent être protégées
contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées et qu'il faut
assurer la confidentialité, la disponibilité et l'intégrité des données.
L'utilisation de services en nuage chez Krios n’implique pas de communiquer des données à l'étranger. Les pays
étrangers connaissent très souvent un niveau de protection des données inférieur à celui de la Suisse : les données
qui y sont transmises risquent donc de subir des traitements qui ne seraient pas autorisés en Suisse. C'est pourquoi aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées
devait s'en trouver gravement menacée, notamment du fait de l'absence de législation assurant un niveau de
protection adéquat (art. 6, al. 1, LPD), sauf si l'une des conditions visées à l'art. 6, al. 2, LPD est remplie. Il faut
considérer qu'il revient en tout état de cause à celui qui transmet des données à l'étranger de prouver qu'il a pris
toutes les mesures nécessaires pour garantir un niveau de protection adéquat.
Enfin, l'utilisateur répond du droit d'accès (art. 8 LPD) et du droit d'effacer ou de rectifier les données (art. 5 LPD).
Ces droits doivent être garantis en tout temps et leur mise en œuvre doit respecter les prescriptions en matière de protection des données, ce qui peut poser de grandes difficultés: comme dit plus haut, l'utilisation d'applications
en nuage implique souvent une perte de contrôle sur les données et l'utilisateur ne sait pas ou plus où les données
sont traitées. Cependant, cela ne le libère pas de ses obligations légales.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Localisation des données
Les données doivent être traitées dans le même pays que la société dont elles proviennent, en l'occurrence la Suisse.
Tous les pays n'exigent pas le même niveau de sécurité qu'en Suisse, et tous n'ont pas des normes juridiques semblables.
Les pays de l'Union européenne ont un cadre réglementaire similaire au nôtre et pourraient faire de bons candidats
pour la sélection d'un cloud, mais par principe il vaut mieux ne pas communiquer ses données à l'étranger.
Le corolaire du premier principe est de pouvoir s'assurer de la localisation "physique" des données. Des représentants de la société doivent pouvoir se rendre sur place, constater et s'assurer que les données sont bien là où l'hébergeur dit
qu'elles sont. Cette vérification doit pouvoir être faite en tout temps.
Contrat
Un critère important du choix de l'hébergeur est sa capacité à fournir une prestation sur mesure, personnalisée. Toutes
les sociétés n'ont pas les mêmes intérêts ni les mêmes données. Il faut donc que le service cloud que propose l'hébergeur
soit adapté et adaptable.
La confidentialité des données doit être assurée. Il est donc primordial que l’hébergeur soit conforme aux principales
normes internationales, notamment les normes ISO 9001 pour les systèmes de gestion de la qualité et ISO 27001 pour
la gestion de la sécurité et la confidentialité des données.
Le for applicable en cas de litige sera un élément déterminant et devrait se trouver en Suisse. Les conditions pour une
élection de for se trouvent à l'art. 17 du Code de procédure civile. Le for en matière pénale ou celui d'une procédure administrative ne peuvent être librement choisis.
Les modalités concernant la fin de la relation contractuelle doivent être détaillées. Non seulement les données doivent
être restituées, mais l'hébergeur doit être en mesure de certifier qu'elles ne sont plus en leur possession. A cet égard, il
peut être judicieux de demander l'établissement d'un certificat relatif à la restitution et à la suppression des données.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Blancherie 61 – CP 847
CH – 1951 Sion
+41 (0)27 323 38 38
www.krios.ch
Contrôles
La sécurité des données doit être assurée. L'hébergeur doit mettre en place des mesures et systèmes de contrôle destinés
à empêcher les soustractions de données ainsi que les fuites. Il doit donc disposer d'instruments informatiques visant à
empêcher notamment les intrusions, mais il doit aussi former et sensibiliser ses employés concernant ces risques. De
plus, des mesures de sécurité visant le personnel doivent également être adoptées et connues de celui-ci, en particulier
afin de faire obstacle aux vols de données en interne.
Tant la société que l'hébergeur devraient demander des conseils au Préposé fédéral à la protection des données et à la
transparence (ou au préposé cantonal si c'est un organe de l'État qui souhaite utiliser les services d'un cloud privé). La
démarche est judicieuse pour l'hébergeur, car cela peut constituer un gage de confiance supplémentaire auprès de ses
clients. Pour la société, cela lui permettra notamment d'être sensibilisée à certaines problématiques.
Assurances
Il serait avisé pour la société de conclure une assurance de protection juridique permettant de couvrir les frais d'un éventuel procès (pénal ou civil), afin d'éviter de vider la trésorerie ou de devoir renoncer à porter une affaire devant les
tribunaux par manque de liquidités. En effet, si c'est elle la demanderesse, il lui reviendra de verser des avances de frais
qui peuvent se chiffrer en milliers de francs.
Une assurance pertes d'exploitation devrait aussi être considérée afin de couvrir le cas où les données ne seraient plus
accessibles suite à un dysfonctionnement du cloud. Dans une telle situation, les données étant indisponibles, c'est toute
la société qui peut se retrouver paralysée, et donc subir des dommages comme une perte sur son chiffre d'affaires.
Conclusion
Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire. En fin de compte, l'utilisateur
du service reste responsable du respect des prescriptions en matière de protection des données, puisqu'il mandate un
prestataire, et il répond des infractions en la matière auprès des personnes concernées. Par ailleurs, il est fortement
recommandé de choisir le cloud privé 100% suisse, géré par un prestataire au capital helvétique tel que KRIOS Suisse
SA.