La sécurité des données et la localisation des datacenters
Premier élément, la localisation de données : où se situe l’emplacement des datacenters des prestataires sélectionnés ? Si votre application est sensible, mieux vaut un service à proximité de vos utilisateurs. Mais au-delà de la problématique de disponibilité de service/ temps de réponse, se pose la question de la réglementation en termes de confidentialité de vos données. Ce critère vous permettra de savoir si votre fournisseur d’hébergement est soumi à des lois, comme le Patriot Act aux Etats-Unis, mis en place après le 11 septembre 2001 et toujours en vigueur. Celui-ci autorise les services de sécurité américains à accéder aux données détenues par les particuliers et entreprises, sans autorisation ni information préalable. Ainsi, si l’hébergeur est américain, et même si sa filiale est hébergée dans un pays différent, ou encore que la société n’est pas américaine mais établie sur le sol américain, l’entreprise pourra être amenée à fournir un accès à ses données hébergées.
Les réglementations sont très différentes d’un pays à l’autre, il faut donc être vigilant ! D’autant plus dans un environnement hyperconcurrentiel où les risques de divulgation d’informations confidentielles sont de plus en plus forts. L’entreprise peut alors privilégier des opérateurs français ou européens dont les serveurs dont situés sur le territoire français par exemple (on parlera alors de « cloud souverain »). D’autres mesures peuvent être également proposées par l’hébergeur pour renforcer la sécurité comme par exemple le chiffrement de données, la double authentification ou encore une charte de confidentialité avec les partenaires…
Dans « sécurité », il faut également entendre « certification » : travaillez avec un hébergeur certifié ou ayant engagé la démarche de certification (comme la certification ISO27001 préparée par Openhost) vous assure un gage de confiance puisque le fournisseur s’engage à assurer un certain nombre de bonnes pratiques visant à assurer la confidentialité, l’intégrité et la disponibilité des données. On parle alors de « SMSI » : Système de Management de la Sécurité de l’Information.