Bien choisir un datacenter pour externaliser ses applications et données en France

Externaliser ses données ou ses applications métier dans un datacenter est une décision stratégique qui engage la responsabilité de votre entreprise sur plusieurs plans : sécurité, performance, conformité. En France, cette externalisation implique de choisir un prestataire d’hébergement qui respecte les principes clés encadrant la gestion des données. 

image datacenter

Pourquoi le choix du datacenter est crucial ?

Dès lors que vous confiez vos applications ou vos données à un prestataire externe, celui-ci devient un sous-traitant au sens du RGPD. Il prend donc une part de responsabilité importante : garantir la confidentialité, l’intégrité et la disponibilité des données hébergées. 

Ces trois piliers sont la base de toute approche sécurisée et conforme de l’hébergement : 

  • Confidentialité : empêcher l’accès aux données par des personnes non autorisées ; 
  • Intégrité : garantir que les données ne soient pas altérées ou corrompues ; 
  • Disponibilité : assurer un accès fiable aux données et services, sans interruption excessive. 

Le choix du datacenter influe également sur les performances de vos applications. Une localisation proche de vos utilisateurs peut améliorer la réactivité de vos services, notamment si vous traitez de fortes volumétries ou des données. 

1. LOCALISATION DES DONEES : UN CRITERE CLE

L’un des fondements du RGPD est que les données personnelles doivent être stockées dans l’UE ou dans un pays reconnu comme offrant une protection équivalente. Opter pour un datacenter situé en France vous assure de rester dans un cadre juridique strictement européen. 

Conseil : Vérifiez précisément où sont hébergées vos données. Certains fournisseurs disposent de datacenters dans plusieurs pays. Assurez-vous que vos données ne seront pas transférées hors de l’Union Européenne sans votre consentement. 

2. CERTIFICATIONS : UN GAGE DE CONFIANCE

Les certifications sont des indicateurs de la qualité et de la sécurité d’un datacenter. En France, les normes les plus courantes sont : 

  • ISO 27001 : norme internationale pour la gestion de la sécurité de l’information. 
  • ISO 22301 : pour la continuité des activités, essentielle dans les stratégies de reprise après sinistre. 
  • HDS (Hébergement de Données de Santé) : spécifique pour les données de santé, garantissant un niveau de sécurité renforcé pour ces informations sensibles. 

 

Ces certifications démontrent que le datacenter suit des processus rigoureux pour assurer la sécurité et la confidentialité des données, des éléments cruciaux pour la conformité au RGPD. 

Conseil : Exigez des preuves de certification et vérifiez leur validité. Un datacenter certifié s’engage à des audits réguliers et à des mises à jour conformes aux meilleures pratiques. 

3. Sécurité physique et monitoring 

Le datacenter doit garantir un haut niveau de sécurité. Cela implique : 

  • Surveillance 24h/24, contrôle d’accès biométrique, dispositifs anti-incendie ; 
  • Sécurisation réseau (firewalls, détection d’intrusion, patchs de sécurité) ; 
  • Chiffrement des données en transit et au repos. 

Conseil : Demandez à votre hébergeur quelles technologies sont mises en œuvre pour prévenir les incidents. Les mises à jour régulières et les systèmes de détection automatisés sont des signaux de maturité de l’approche sécurité de l’hébergeur. 

4. Sécurité physique et numérique 

La sécurité est un pilier central du RGPD, et un datacenter doit garantir un environnement sécurisé à la fois sur le plan physique et numérique. La sécurité physique inclut la surveillance 24/7, les contrôles d’accès stricts et des systèmes anti-incendie et anti-intrusion efficaces. La sécurité numérique, quant à elle, couvre la protection contre les cyberattaques, la détection des intrusions et l’application de correctifs de sécurité réguliers. 

Conseil : Assurez-vous que le datacenter applique des mesures telles que le chiffrement des données en transit et au repos, ainsi que des protocoles de sécurité avancés comme les pares-feux de nouvelle génération et les systèmes de détection des menaces. 

5. PLAN DE REPRISE D’ACTIVITE (PRA)

En cas de sinistre ou d’incident majeur, il est essentiel avoir un Plan de Reprise d’Activité (PRA) bien défini. Ce plan doit garantir la disponibilité continue de vos données et une reprise rapide des services en cas de problème. Dans le choix d’un fournisseur de services d’hébergement, la possibilité de mettre en place un Plan de Reprise Activité pour vos applications critiques ou pour vos données stratégiques est fondamental. 

Conseil : Vérifiez les engagements de votre fournisseur en matière de continuité d’activité. Le SLA (Service Level Agreement) doit mentionner clairement les garanties sur les temps de reprise après sinistre et les engagements en termes de disponibilité. Vérifiez les options de redondance et de disponibilité que l’hébergeur offre pour mettre en place votre PRA, et exécutez des tests et des simulations de sinistre à fréquence régulière. 

6. Conformité contractuelle et SLA (Service Level Agreement) 

Le contrat qui vous lie à votre fournisseur doit mentionner noir sur blanc ses engagements en matière de sécurité, de disponibilité, de confidentialité, mais aussi de conformité au RGPD. Ce contrat précise les responsabilités de chacun en cas d’incident. 

Conseil : Prêtez attention aux engagements de services (SLA), aux modalités de traitement des incidents, et aux responsabilités juridiques. En cas de doute, faites relire le contrat par un juriste spécialisé. 

7. AUDIT ET TRANSPARENCE

Un hébergeur informatique de confiance propose une politique claire d’audit de ses systèmes : journaux d’événements, rapports de conformité, et possibilité de faire auditer ses services par des tiers. Cette transparence est une composante essentielle du devoir de preuve exigé par le RGPD. 

Conseil : Renseignez-vous sur la fréquence des audits internes, les possibilités d’audits externes, et les mécanismes de retour d’expérience en cas de faille ou d’incident. 

Qui est responsable de la traçabilité des accès : éditeur ou hébergeur ? 

Il est important de bien distinguer le rôle du datacenter et celui de l’éditeur de logiciel, notamment lorsqu’on parle de journalisation des accès. 

En tant qu’hébergeur, le datacenter est responsable des accès à l’infrastructure (serveurs, réseaux…). Mais si vous êtes éditeur de logiciel, vous restez responsable de la traçabilité des accès au niveau de votre application. Le datacenter ne peut pas journaliser qui utilise votre logiciel, à moins que ce rôle ne soit explicitement prévu dans votre contrat. 

Cette distinction est essentielle pour bien comprendre les différents modèles d’hébergement : SaaS, PaaS, IaaS. Nous y reviendrons dans un prochain article dédié à l’univers du PaaS (Platform as a Service). 

Chez Informatique Online, nous offrons un hébergement 100% conforme au RGPD, sécurisé et localisé en Rhône-Alpes, avec des certifications et un support adapté à vos besoins.

Contactez-nous dès aujourd’hui pour découvrir nos solutions sur mesure !

CONTACTEZ-NOUS !

Nos autres articles :

Besoin de précisions sur l’infogérance ? N’hésitez pas à consulter notre article : Naviguer dans le monde de l’infogérance.

Si le monde de l’infogérance n’a plus de secret pour vous, passez directement à l’étape du contrat ! Démarrer un contrat d’infogérance.