Les professionnels du droit ont tout intérêt à pouvoir travailler et collaborer à distance dans le cloud, mais il est également important d'être conscient des défis et des vulnérabilités liés à la sécurité qui accompagnent la technologie cloud. Une faille de sécurité ou le non-respect de certaines directives de conformité pourrait vous exposer, vous et votre équipe, à des risques juridiques et financiers importants, sans parler des temps d'arrêt potentiels et de la perte de confiance de vos clients.

La bonne nouvelle, c'est que de nombreux fournisseurs de services cloud réputés offrent à leurs utilisateurs la possibilité de s'appuyer sur les contrôles de sécurité et de conformité intégrés qui existent déjà dans l'infrastructure applicative du fournisseur, ou d'en « hériter ». Afin de vous aider, vous et votre équipe juridique, à faire le bon choix en matière de fournisseurs de services cloud, nous avons identifié 16 normes, certifications, rapports d'audit, réglementations et attestations, ainsi que des lois américaines et internationales, qui constituent des indicateurs permettant de garantir que votre collaboration avec les différents fournisseurs de services cloud est sûre, sécurisée et conforme. Plus votre fournisseur répond à ces « critères de vérification » ou s'y conforme, mieux il est placé pour mettre en place des contrôles de sécurité et de conformité qui profitent à ses clients cloud, y compris votre équipe juridique, et les protègent.

16 contrôles de conformité et de sécurité à rechercher chez un fournisseur de services cloud

Cette liste de contrôles de conformité et de sécurité comprend la famille de normes et de contrôles ISO 27000 de l'Organisation internationale de normalisation (ISO), reconnue mondialement, ainsi que des normes internationales basées aux États-Unis qui sont non seulement requises dans leur État ou pays d'origine, mais qui ont depuis été reconnues plus largement comme des références importantes en matière de sécurité.

1. La norme ISO 27001 spécifie les exigences relatives à l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI) dans le contexte de l'organisation.
2. La norme ISO 27017 fournit des recommandations sur les aspects liés à la sécurité de l'information dans le domaine du cloud computing et des services cloud, ainsi que des recommandations supplémentaires pour la mise en œuvre des contrôles pertinents spécifiés dans la norme ISO/IEC 27002.
3. La norme ISO 27018 établit des objectifs de contrôle, des contrôles et des lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnelles identifiables (PII) conformément aux principes de confidentialité de la norme ISO/IEC 29100 pour l'environnement informatique en nuage public.
4. La norme ISO 27701 est une extension de la norme ISO/IEC 27001 relative à la confidentialité, conçue pour améliorer le SMSI existant avec des exigences supplémentaires afin d'établir, de mettre en œuvre, de maintenir et d'améliorer continuellement un système de gestion des informations confidentielles (PIMS). En outre, les contrôles prévus par la norme ISO 27701 répondent à bon nombre des exigences du règlement général sur la protection des données (RGPD) de l'UE. La certification ISO 27701 peut donc également être utilisée pour valider de manière indépendante la conformité au RGPD.
5. Les rapports SOC (Service Organization Controls) aident les entreprises à instaurer la confiance dans leurs processus et contrôles de prestation de services. Pour ce faire, ils fournissent des informations détaillées et des garanties sur la capacité d'un fournisseur de services cloud à respecter tout ou partie des principes de confiance suivants : sécurité, disponibilité, confidentialité, traitement, intégrité et confidentialité.
6. La norme FIPS (Federal Information Processing Standard) (140-3) spécifie les exigences de sécurité auxquelles doivent satisfaire les modules cryptographiques. Il s'agit d'une norme essentielle dans les secteurs hautement réglementés. Il est important de noter les différences entre la norme FIPS 140-2, qui répond à la norme de résistance à la falsification, et la norme FIPS 140-3, qui répond à la norme plus stricte de protection contre la falsification. En outre, la norme FIPS 140-2 ne traite que des exigences de sécurité après achèvement, tandis que la norme FIPS 140-3 évalue désormais les exigences de sécurité à toutes les étapes de la création d'un module cryptographique : conception, mise en œuvre et déploiement opérationnel final.
7. Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme de certification à l'échelle du gouvernement américain qui fournit une approche normalisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud fournis aux agences gouvernementales, aux fournisseurs et aux clients.
8. Les Export Administration Regulations (EAR) sont des réglementations en matière de contrôle des exportations gérées par différents départements du gouvernement américain, tels que le département américain du Commerce, qui administre les EAR afin de réglementer l'exportation de biens à « double usage », y compris les données techniques et l'assistance technique, qui sont conçus à des fins commerciales mais pourraient avoir des applications militaires, tels que les ordinateurs, les avions et les agents pathogènes.
9. Les exigences et réglementations du Defense Federal Acquisition Regulation Supplement (DFARS) visent à garantir l'intégrité des informations contrôlées non classifiées (CUI), c'est-à-dire les informations sensibles appartenant au gouvernement américain que des tiers tels que des fournisseurs, des partenaires et des associations professionnelles peuvent détenir ou utiliser.
10. La loi fédérale sur la gestion de la sécurité de l'information (FISMA) est une législation américaine qui définit un cadre de lignes directrices et de normes de sécurité visant à protéger les informations et les opérations du gouvernement.
11. La loi HIPAA (Health Insurance Portability and Accountability Act) définit des mesures de protection de la vie privée normalisées à l'échelle nationale pour les dossiers médicaux des patients et autres informations de santé fournies et gérées principalement par les régimes d'assurance maladie, les médecins, les hôpitaux et autres prestataires de soins de santé aux États-Unis. Cependant, elle peut également s'appliquer aux employeurs qui proposent des régimes d'assurance maladie collectifs et à toute entreprise ou personne physique qui fournit des services aux médecins, aux prestataires de soins de santé et aux compagnies d'assurance.
12. La règle 17a-4 de la SEC s'applique aux courtiers américains et autres parties concernées qui négocient des titres ou agissent en tant que courtiers pour le compte de traders, y compris les banques, les sociétés de valeurs mobilières et les sociétés de courtage, leur imposant de conserver tous les documents commerciaux pendant une période d'au moins six ans sur des supports non réinscriptibles et non effaçables, les deux premières années dans un endroit facilement accessible.
13. Les clauses types de l'UE sont des clauses contractuelles standardisées utilisées dans les accords entre les prestataires de services et leurs clients afin de garantir que toutes les données à caractère personnel quittant l'Espace économique européen seront transférées conformément aux lois de l'UE en matière de protection des données et répondront aux exigences du RGPD.
14. Les directives en matière de sécurité dans le cloud de l'Australian Cyber Security Centre (ACSC) informent les entités du Commonwealth, les fournisseurs de services cloud (CSP) et les évaluateurs du programme Infosec Registered Assessors Program (IRAP) sur la manière de réaliser une évaluation complète de la sécurité des CSP et de leurs services.
15. Le règlement général sur la protection des données (RGPD) régit la manière dont les entreprises protègent les données personnelles des citoyens de l'UE et est devenu la référence en matière de législation sur la protection de la vie privée pour de nombreux pays.
16. La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) est une loi étatique visant à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de l'État américain de Californie.

Choisissez une solution cloud qui privilégie la sécurité et la conformité

En choisissant de travailler avec un fournisseur de services cloud certifié conforme à bon nombre de ces différentes normes et réglementations, vous pouvez compter sur les contrôles de conformité et de sécurité requis par ces normes et lois, ou en « hériter ». La direction de votre organisation, votre équipe juridique et vos clients peuvent être assurés que vos données sont entre de bonnes mains.

En tant que solution cloud native conçue pour les professionnels du droit, NetDocuments vous offre, à vous et à votre équipe, les contrôles de sécurité et de conformité les plus adaptés au travail juridique, tout en vous permettant de travailler et de collaborer facilement et efficacement.

Pour en savoir plus sur la manière dont NetDocuments peut vous aider à respecter vos obligations de conformité et les exigences de vos clients en matière de protection des informations sensibles, contactez-nous dès aujourd'hui au (866) 638-3627 ou cliquez ici pour demander une démonstration.

Lisez l'article original de David sur ce sujet dans l'édition été 2022 du magazine Peer to Peer de l'International Legal Technology Association. Peer to Peer.