Stratégie d'hébergement
Configuration
Vraie problématique pour le déploiement sur plusieurs environnement.
Hébergement
- Cloud Public: Environnements distants mutualisés fournie par un fournisseur, auquel ont accédé depuis internet. Il s'agit de serveur virtuel dont les ressources peuvent être facilement adapté à nos stricts besoins.
- Cloud Privé: Infrastructure informatique dans laquelle les services et les ressources cloud sont utilisés exclusivement par une seule organisation.
- On-Premise: On-Premise, en français, “sur site” fait référence à l’utilisation du serveur et de l’environnement informatique de l’entreprise. Dans ce modèle d’utilisation, le client, ou licencié, achète ou loue un logiciel basé sur serveur qui sera installé sur son propre serveur ou sur un serveur loué
- Cloud Hybride: Combinaison de l'infrastructure physique et du cloud (public et/ou privé) qui hébergent les applications en fonction de leur besoin en sécurité et en accessibilité vers l’extérieur.
- Local: Exécution d'une application/site sur l'ordinateur d'un utilisateur, sans serveur distant.
Critères de choix
Critères technique
Performance : la capacité de la solution à répondre aux demandes en temps réel et à gérer de grandes quantités de données.
Stockage : la quantité de stockage disponible et la capacité de la solution à évoluer en fonction de l'augmentation de la quantité de données.
Plan de reprise après sinistre *(PRA) / Plan de continuité d'activité (PCA)* : les mesures prises pour garantir la disponibilité des données en cas de sinistre.
Maintenabilité : la facilité de la solution à être mise à jour et maintenue en cours de fonctionnement.
Critères législatifs
La RGPD (Règlement général sur la protection des données) est une législation de l'Union européenne qui a été mise en place pour renforcer la protection des données personnelles des citoyens. Les entreprises qui traitent des données personnelles doivent se conformer à cette réglementation. Voici les critères de choix à prendre en compte pour la RGPD :
Consentement de la personne concernée : L'entreprise doit obtenir le consentement explicite de la personne concernée pour collecter et traiter ses données personnelles.
Finalité du traitement des données : Les données personnelles doivent être collectées et traitées uniquement dans le but spécifié et légitime pour lequel elles ont été collectées.
Durée de conservation : Les données personnelles ne doivent être conservées que pendant la période nécessaire pour atteindre la finalité pour laquelle elles ont été collectées.
Sécurité des données : Les données personnelles doivent être protégées contre tout accès non autorisé ou toute utilisation abusive.
Droits des personnes concernées : Les personnes concernées ont le droit d'accéder à leurs données personnelles, de les rectifier ou de les supprimer si elles le souhaitent.
Notification de violation de données : Si une violation de données personnelles se produit, les personnes concernées et les autorités compétentes doivent être notifiées.
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'agence gouvernementale française chargée de la cybersécurité. Voici les critères de choix à prendre en compte pour l'ANSSI :
Niveau de sécurité requis : L'ANSSI classe les systèmes d'information en quatre niveaux de sécurité allant de "base" à "très haut". Les entreprises doivent choisir une solution d'hébergement qui offre le niveau de sécurité requis pour leur système d'information.
Certification de sécurité : L'ANSSI offre des certifications de sécurité pour les hébergeurs de données. Les entreprises peuvent choisir un hébergeur certifié pour garantir que leur système d'information est hébergé de manière sécurisée.
Localisation des données : Les données sensibles doivent être stockées sur des serveurs situés en France pour garantir leur protection.
Gestion des incidents de sécurité : Les hébergeurs doivent disposer d'un plan de gestion des incidents de sécurité pour faire face aux éventuelles menaces de cybersécurité.
Les entreprises qui souhaitent héberger leurs données sensibles doivent prendre en compte ces critères de choix pour garantir que leur système d'information est sécurisé et conforme à la réglementation de l'ANSSI.
Critères de confidentialités : données sensibles
La loi de 2018 met un cadre sur le traitement des données sensible :
Définition des données sensibles : données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie sexuelle d'une personne.
Règles pour la collecte, le traitement et le stockage de données sensibles.
Mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données sensibles.
Droits des personnes concernées en matière de protection des données : droit d'accès, de rectification et de suppression de leurs données personnelles.
Obligation d'informer les personnes concernées de leurs droits en matière de protection des données.
Sanctions en cas de violation de la loi sur la protection des données sensibles : amendes et poursuites pénales.
Critères de confidentialités : HDS
Les HDS (Hébergeurs de Données de Santé) sont des hébergeurs de données de santé agréés en France, chargés d'héberger des données de santé à caractère personnel. Voici les règles à prendre en compte pour les HDS :
Agrément : Les HDS doivent être agréés par le ministère de la Santé pour pouvoir héberger des données de santé à caractère personnel.
Sécurité : Les HDS doivent respecter les normes de sécurité définies par la réglementation française pour protéger les données de santé.
Confidentialité : Les HDS sont tenus de respecter la confidentialité des données de santé et de ne pas divulguer ces données à des tiers.
Disponibilité : Les HDS doivent garantir la disponibilité des données de santé hébergées à tout moment.
Traçabilité : Les HDS doivent être en mesure de tracer les accès aux données de santé hébergées et de fournir des rapports d'activité.
Archivage : Les HDS doivent conserver les données de santé pendant une période définie par la réglementation française.
Les entreprises qui souhaitent héberger des données de santé à caractère personnel doivent choisir un hébergeur agréé HDS et respecter les règles énoncées ci-dessus pour garantir la confidentialité, la sécurité et la disponibilité des données de santé.
Critères de confidentialités : données commerciales
Définition des données à caractère personnel : toutes les informations relatives à une personne physique identifiée ou identifiable, comme son nom, son adresse, son numéro de téléphone, son adresse e-mail, etc.
Règles pour la collecte, le traitement et le stockage de données à caractère personnel.
Consentement préalable des personnes concernées pour la collecte et le traitement de leurs données à caractère personnel.
Obligation d'informer les personnes concernées de la finalité de la collecte et du traitement de leurs données à caractère personnel.
Mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données à caractère personnel.
Droits des personnes concernées en matière de protection des données : droit d'accès, de rectification et de suppression de leurs données à caractère personnel.
Obligation de notifier les violations de données à caractère personnel aux autorités de protection des données et aux personnes concernées.
Sanctions en cas de violation de la loi sur la protection des données commerciales : amendes et poursuites pénales.
Critères de coûts
Le coût est un critère important pour les clients, car il est souvent nécessaire de faire un choix entre une solution moins coûteuse et une solution plus performante.
Il est important de considérer les coûts initiaux et les coûts à long terme, tels que les frais de maintenance, les frais de stockage supplémentaires et les coûts de migration.