Les RIAM 2010, Saint-Tropez. A l’occasion d’un atelier consacré à la sécurité du Cloud Computing, Bernard Ourghanlian (Directeur Technique et sécurité, Microsoft France) a notamment identifié trois questions à (se) poser avant d’envisager de migrer vers le nuage.

Quel est le délai de rétention des informations appliqué par le fournisseur du service ? En fonction des pays dans lesquels les données sont stockées ou traitées, cela peut entraîner des conflits.

Qui notifie les autorités en cas de brèche et de vol d’informations personnelles ? Quelle legislation s’applique alors ? Est-ce là le rôle du fournisseur ou de son client ? (probablement situés dans des pays différents)

Comment sont gérées les réquisitions judiciaires pour accéder aux données ? Là aussi, en fonction des pays mis dans la boucle cela peut très vite devenir compliqué.

Bien entendu il ne s’agit pas là de l’intégralité du propos de Bernard Ourghanlian, dont la présentation était particulièrement intéressante dans son approche de décryptage du Cloud et d’identification des risques. Mais ces questions nous ont semblé plus originales et embêtantes que celles que l’on retrouve généralement à longueur de slides dans des présentations similaires.