IoT et cloud : gérer la sécurité par le contrat
IoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.
La sécurité des objets connectés (ou Internet of Things, « IoT ») dépend de celle du cloud permettant d’en recueillir et traiter les données : bien négocier son contrat cloud est dès lors primordial.
Le talon d’Achille des objets connectés est la sécurité. Cela doit s’apprécier au niveau du transfert des données collectées, c’est-à-dire du réseau de télécommunications, mais aussi au niveau de l’espace de stockage et d’hébergement de ces données, voire des outils de traitement de ces données. C’est là qu’intervient le cloud computing, car, en effet, à la différence des simples interactions Machine to Machine (M2M), IoT et cloud sont consubstantiels (1).
Le contrat IoT et cloud sera le plus souvent de type SaaS dans la mesure où il s’agit de stocker une grande quantité de données (big data) mais aussi de les traiter et les analyser au moyen d’outils logiciels performants (smart data). Le porteur de projet pourra toutefois se contenter d’un contrat PaaS, s’il sait développer sa propre application à partir des outils de développement mis à sa disposition ou même simplement IaaS, si c’est juste l’infrastructure de stockage qu’il recherche dans son projet IoT et cloud.
Les recommandations formulées notamment par les autorités de contrôle européennes (groupe de l’article 29) (2) mais aussi les bonnes pratiques formulées par l’Anssi (3) doivent se traduire dans le contrat mettant en place l’architecture d’un système IoT et Cloud.
Plus précisément, le contrat IoT et cloud comprendra toutes les clauses adaptées pour en sécuriser le périmètre et la qualité des livrables (4). La question de la sécurité étant centrale, il convient à ce titre de :
- fixer le périmètre technique des responsabilités confiées au prestataire et notamment ses missions de surveillance et supervision ;
- imposer au prestataire le respect de la norme PCIDSS en cas de traitement de données de paiement ;
- prévoir une garantie de respect des normes constituant l’état de l’art et selon les cas ISO 27001 et 27018 ;
- exiger du prestataire une annexe sécurité laquelle comprendra un plan de reprise et de continuité d’activité ;
- organiser contractuellement la gestion des éventuelles failles de sécurité (en particulier grâce à un « data breach process ») ;
- prévoir que le prestataire se porte fort des engagements de sécurité et de confidentialité par ses collaborateurs et sous-traitants ;
- prévoir une clause d’audit de sécurité pouvant être mise en œuvre au minimum tous les 18 mois.
Le contrat IoT et cloud, rédigé sur de telles bases, « contribuera à instaurer une relation durable de confiance » entre prestataires, au bénéfice d’utilisateurs toujours plus nombreux.
Eric Le Quellenec
Lexing Informatique conseil
(1) Chantal Polsonetti, « Know the difference between IoT and M2M », Automation world, post du 15-7-2014.
(2) Cnil, Communiqué G29, Avis sur l’internet des objets, 2-10-2014.
(3) ANSSI, Bonnes pratiques de la sécurité informatique.
(4) Éric Le Quellenec, « Cloud computing : renforcer la confiance entre client et prestataire », post du 17-8-2015.