Quels risques faut-il prendre en compte?

Nous travaillons sur trois axes. D’abord la confidentialité en nous assurant que la diffusion des données est limitée aux personnes autorisées. Nous veillons à leur intégrité et nous assurons qu’elles soient toujours disponibles. Notre engagement est défini par un niveau de service contractuel (SLA). La conformité avec cet engagement est assurée par la mise en œuvre de mesures techniques et organisationnelles validées par la certification ISO 27001.

 

Il est beaucoup question actuellement des risques liés à l’ingérence de certains Etats. Quelles garanties peut-on demander à ce sujet?

Les risques sont réels. Il n’y a pas d’autre parade possible que de choisir des prestataires 100% nationaux et dont les données sont traitées et hébergées en Suisse exclusivement.

A quelles obligations légales les hébergeurs suisses doivent-ils se soumettre?

Du point de vue du droit l’opérateur doit se conformer aux dispositions relatives à la protection des données (LPD) ainsi que celles liées au secret professionnel. Ils doivent impérativement garantir leurs systèmes contre la destruction accidentelle ou non autorisée, la perte accidentelle, les erreurs techniques, le vol ou l’utilisation illicite et les accès non autorisés. Il n’existe pas encore de réglementation spécifique au domaine même si le préposé fédéral a publié un certain nombre de recommandations. La certification ISO 27001 est à ce titre un prérequis indispensable.

 

En quoi le cloud est-il plus sûr qu’une infrastructure privée? 

Les PME profitent d’un niveau de sécurité normalement réservé aux multinationales. Aujourd’hui, le plus grand risque de sécurité est lié aux «insiders». L’externalisation ajoute une barrière supplémentaire entre les données et les employés.

 

Comment s’assurer de la qualité de l’hébergeur?

Il doit être parfaitement transparent sur ses procédures internes et celles de ses partenaires. Les certifications ISO 27001 et ISO 20001 sont les meilleurs gages de qualité possible. L’hébergeur doit être ouvert à la visite de ses centres de données et offrir des solutions de réplication extra-muros.