Il n’y pas de cloud, mais l’ordinateur de quelqun d’autre !
La dépendance aux service cloud est de plus en plus forte, et nous rend quelque part archi vulnérable si ceux si se font attaquer !
L’exemple Winbiz en est une parfaite illustration
#Cloud #Winbiz #Suisse #PME #GDPR #Securité #Hacking
Par prise de position du 13 mai 2022, publiée le 13 juin 2022, le PFPDT va au-delà de son avis précédemment donné à la SUVA.
Désormais, il retient que l’utilisation des services Cloud Microsoft 365 (Cloud Azure) est illégale, tant pour les organes privés que fédéraux.
Raisonnement en deux étapes :
Parmi les entreprises qui proposent de traiter les données personnelles sur le Cloud et non sur site : Microsoft Ireland Operations Ltd, qui fait partie d’un groupe américain et dont le siège se trouve à Dublin.
Oui, selon le PFPDT, même si les datacenters sont hébergés en Suisse, l’utilisation d’un tel système de Cloud est une communication transfrontière car des données personnelles sont externalisées dans un centre de données étranger irlandais par une société exploitée par un groupe américain.
Pour les organes privés, en principe, l’admissibilité d’un transfert vers l’étranger se base sur le niveau de protection offert par la législation en vigueur vers le pays de destination ou des garanties contractuelles suffisantes et non pas sur le risque effectif en cas de transfert.
Pour les organes publics, en raison du secret de fonction, d’importantes difficultés sont rencontrées en cas de transfert à l’étranger. Une révision à venir de l’article 320 du Code pénal devrait permettre un allègement.
Oui, le transfert vers l’Irlande est possible, car elle fait partie de l’EEE et sa législation offre un niveau de protection adéquat.
Non, le transfert vers les Etats-Unis n’est pas possible, car la législation n’offre pas un niveau de protection suffisant, tant pour les organes privés que public.
CONCLUSION
Selon le PFPDT :
La position du PFPDT :
Néanmoins, compte tenu de l’évolution technologique constante, l’analyse de toute migration vers le cloud doit être effectuée (via des analyses d’impact ou de transfert) afin de faire face aux besoins et aux risques réels.
La Banque cantonale neuchâteloise frappée par une cyberattaque – Une faille sur son web a permis l’extraction de plus d’un millier d’email.
La Banque cantonale neuchâteloise frappée à son tour par une cyberattaque – rts.ch – Neuchâtel
Microsoft Azure victime d’un hacking incroyable sur une faille lié a une fonctionnalité activée par défaut sur ses bases de données – 3300 clients au moins sont à risque !!!
La ville de Rolle voit toutes les données de ses concitoyens, des emails de ses employés, des informations confidentielles disponible sur le dark net ! Et la ville était au courant depuis Juin….
Nouvelles révélations sur le piratage massif subi par Rolle – Le Temps
Je le rappelle : « il n’y a pas de ‘cloud’, mais juste les ordinateurs de quelqun d’autre »!!
Et Redstone est là pour vous aider à évaluer vos risques !
Ce mercredi, suivez mon interview par Julien Grandjean de iDAYit !!
Un super sujet abordé !
La confiance numérique en Suisse encore en porte à faux avec le choix de Alibaba comme prestataire cloud !
Merci Watson pour ce super article
En termes de protection des données, la Suisse s’est fiée à la Chine – watson
Une frontière de donnée EU/US pour #Microsoft :
https://www.lebigdata.fr/stockage-cloud-microsoft-rgpd-europe
En effet, on ne pourra avoir des services conformes au #RGPD que si ces mêmes acteurs révisent leurs modèles et finalement crée des clouds autonomes par région.
En gros on revient au problème de l’indépendance numérique Européenne, et Suisse.
Si vous planifiez une migration cloud, Redstone est là pour vous aider à identifier les risques !!