Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?
A l’heure où le règlement général sur la protection des données va entrer en application, entreprises et administrations se demandent toujours comment procéder. Certaines décident d’y aller seules, d’autres se tournent vers des hébergeurs cloud pour les aider et les accompagner. Agarik assume ce rôle en mettant en avant son expertise en matière de sécurité.
Tout commence par l’envoi d’une lettre à l’attention des clients, « souvent dans le cadre d’un contrat de sauvegarde » explique Frédéric Leduc, responsable qualité et sécurité chez Agarik. Elle rappelle les exigences du RGPD en matière de qualification des données et dans la réalisation d’une étude d’impact (PIA). Cette dernière vise à s’assurer qu’un traitement dit à risque (traitement de masse, données sensibles, profilage) respecte d’une part la vie privée des personnes, d’autre part, réduit les risques en termes de sécurité. Dans ce cadre, le PIA agit comme un test de sécurité sur les données. « Il est utile de préciser la nature des données, d’en connaître la criticité pour appliquer des solutions de sécurité adaptées comme l’authentification forte », assure le responsable. Il ajoute, « nos interlocuteurs devraient être les responsables des données, mais il s’agit de nouvelles fonctions. Nous sommes dans un rôle de conseil et de force de propositions ».
Portefeuille complet de sécurité et formation
Parmi ses propositions, « Agarik est un opérateur de réseau très réactif, en allant au-delà du simple firewall, à travers la détection d’intrusion, les pare-feux applicatifs, la sécurisation des sites, la double authentification », poursuit Frédéric Leduc. Cet arsenal est complété par la capacité de chiffrer les bases de données ou directement les données sensibles. Pour assurer une veille permanente, Agarik peut compter sur l’expertise de la cellule de cybersécurité du Groupe Atos. Les clients bénéficient sur leurs portails de supervision d’un rapport en temps réel d’exploitation comprenant différents indicateurs (tickets, taux de disponibilité, mise en production, incidents particuliers). L’hébergeur s’engage par ailleurs dans un cycle de formations obligatoires de sensibilisation de ses collaborateurs sur la protection des données personnelles. Au quotidien, la cybersécurité est l’affaire de tous. Tous les trimestres des sessions d’informations Cybersécurité sont organisées, pour rappeler les bonnes pratiques et les usages. Cela a donné lieu à l’élaboration et la mise en place d’une charte de sécurité en 10 points que chacun doit respecter.
Certifications ISO et datacenters sous surveillance
Sur le plan des certifications, Agarik a décidé de revalider son agrément ISO 27001 impliquant des mesures techniques et des bonnes pratiques pour protéger l’entreprise de toute perte, vol ou altération de données. L’hébergeur cloud se prépare à la certification ISO 9001 afin de garantir la satisfaction client et assurer un haut niveau de qualité. La labellisation SecNumCloud, le référentiel de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information), est aussi engagée. Agarik s’est associé à Qualys pour installer des sondes au sein des datacenters, « toutes les nuits, elles scannent les serveurs (OS et middlewares) pour détecter les failles de sécurité. Par ailleurs, deux fois par mois, des scans sont également effectués via Internet par le Groupe Atos ; cela fait partie des indicateurs sécurité examinés tous les mois en comité de Direction », précise Frédéric Leduc.
Au final, si le RGPD est souvent vu sous le prisme juridique, l’aspect technique est important. N’hésitez pas à demander des preuves !
Frédéric Leduc
Responsable Qualité et Sécurité
Agarik