Академический Документы
Профессиональный Документы
Культура Документы
Certifiée ISO 9001 et 27001, Krios est spécialisée dans l’intégration, le développement et l’hébergement de solutions
informatiques. Qu’il s’agisse d’installer un parc informatique ou d’héberger le système d’information d’entreprise, Krios
applique les meilleures pratiques du domaine pour apporter des solutions évolutives et adaptées aux besoins spécifiques
de chaque entreprise.
Parmi les leaders suisses de la fourniture de services de Cloud Computing, Krios investit depuis plus de 10 ans dans la
fourniture de service hébergés sur mesure pour les entreprises de toutes tailles.
Hébergement de sites Internet, Développement de solutions sur Analyse, conseil, vente, installation,
Email, Exchange, Bureau distant mesure, suivi clients, gestion gestion de projets, ingénierie,
SwissDesk™, VDI, services Cloud, d’entreprise, gestion électronique amélioration continue, helpdesk,
Sauvegardes, Sécurité et tout autre de documents, solution métier pour dépannage, assistance,
service ou application. notaires. maintenance et infogérance.
KRIOS Suisse SA, créée en janvier 2004, est une société suisse avec capitaux helvétiques.
Société suisse inscrite au Registre du Commerce de Sion (VS) sous le n° CH-626.4.009.167-5.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Performances accrues, amélioration continue, utilisation rationnelle des ressources et respect de l'environnement sont
les maîtres mots. Depuis 2007, Krios investit plus de 100kCHF par an pour le développement de son cloud privé qu’elle
met à disposition de l’ensemble de ses clients sous forme d’IaaS (infrastructure en tant que service), de PaaS (plateforme
en tant que service) ou de SaaS (Software en tant que service).
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
L’infrastructure informatique de Krios, reposant dans deux Data Centers situés à Lausanne (Tier III) et Sion (Tier II),
répond aux plus hautes exigences dans le domaine de la fourniture de services informatiques.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Les collaborateurs
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Editeur de logiciel
Fiduciaire
Social et éducation
Notariat et finance
Energie et construction
Divers
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
De plus en plus d’entreprises, d’autorités et d’institutions confient le traitement de leurs données à des entreprises externes,
misant sur l’informatique en « nuage » (cloud computing). Les applications et les données ne se trouvent donc plus sur les
réseaux internes, mais dans le « nuage », et l’accès aux données, aux services et à l’infrastructure se fait à distance.
Le principe du cloud computing (ou nuage informatique) consiste à déporter sur un serveur distant les données
habituellement conservées sur un ordinateur, un serveur ou un disque dur local. Il permet de sauvegarder des documents en
ligne ou d’accéder à des logiciels hébergés et gérés sur des serveurs externes. Il s’agit également d’espaces de travail
collaboratifs, dans lesquels plusieurs personnes peuvent partager et modifier des documents en même temps et depuis
n’importe quel endroit en mode connecté. Si la dématérialisation des données et le stockage en ligne existent depuis
plusieurs années déjà, de plus en plus de petites et moyennes entreprises suisses font désormais appel à ce type de solutions.
Ainsi, une étude récente du cabinet spécialisé MSM Research montre que les dépenses en matière de cloud computing sur
le marché suisse vont passer de CHF 465,3 millions en 2013 à CHF 974,8 millions en 2015, soit une augmentation de près de
110%.
A l’intérêt financier s’ajoutent une facilité de mise en œuvre et une réactivité qui permettent de modifier rapidement les
ressources informatiques à disposition d’une entreprise.
Des dizaines de sociétés suisses se disputent aujourd’hui un marché jusqu’alors dominé par les multinationales américaines.
Les révélations sur les divers programmes du gouvernement américain visant à lire et à décoder les informations sensibles
stockées en ligne semblent avoir joué un rôle.
"Tout recours à des firmes américaines est formellement déconseillé, souligne Sébastien Fanti, avocat à Sion et spécialiste des
nouvelles technologies. Car celui qui fait appel à des services cloud doit pouvoir auditer son prestataire, ce qui est impossible
dans la pratique avec, par exemple, une firme comme Google, qui refuse de répondre s’agissant de la localisation exacte des
données. Il n’y a guère que les prestataires suisses qui respectent le canevas légal général."
Si le cloud computing offre de nombreux avantages pour une petite ou moyenne entreprise, l’analyse des risques est un
aspect à ne pas négliger. Ce mode de traitement des données implique grosso modo que les logiciels, la mémoire ou les
capacités de calcul soient utilisées en réseau selon les besoins, par ex. sur Internet ou au sein d'un réseau privé virtuel. En
d'autres termes, ces capacités sont louées: l'environnement informatique (centre de calculs, espaces de stockage, logiciels
de messagerie et de collaboration, environnements de développement et logiciels spéciaux tels que la gestion des relations
avec la clientèle) n'est plus la propriété de l'entreprise ou de l'autorité et n'est plus géré par celles-ci, mais est loué à un ou
plusieurs prestataires de services.
Organisation
On distingue les nuages privés, publics, hybrides et communautaires :
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Types d'offres
Les offres portent sur l'infrastructure, sur la plateforme et sur les logiciels :
Les offres dites d'«infrastructure en tant que service» (IaaS) correspond à la fourniture de Data center virtuel : le prestataire
met à la disposition des utilisateurs les ressources système (processeur, mémoire, disques, réseau) en nuage pour exploiter
des données ou des applications. Dans ce type d'offres, le prestataire est uniquement responsable du fonctionnement du
réseau, de l'accès et du matériel.
Les offres dites de «plateforme en tant que service» (PaaS) concernent à la fourniture de serveur virtuel sur mesure :
l’utilisateur développe et maintient une application pour la mettre à la disposition de ces clients finaux. L'utilisateur gère
alors seul les données au moyen de cette application et choisi le niveau de service qu’il a besoin avec la Plateforme mise à
disposition.
Enfin, dans les offres dites de «logiciel en tant que service» (SaaS), l'utilisateur n'est qu'un consommateur dans le nuage : il
ne gère rien lui-même, ni les applications ni les données, et a seulement accès aux fonctionnalités définies par le prestataire
pour traiter les données dans le nuage.
Les raisons principales de l'utilisation des systèmes d'informatique en nuage sont la réduction des coûts d'infrastructure
informatique et de logiciels, la mise à jour des logiciels sur demande, une plus grande capacité de calcul, un espace de
stockage des données dynamique (la mémoire louée dans le nuage augmente ou se réduit en fonction des données qui y
sont enregistrées), la mobilité, la simplicité et la rapidité de l'accès aux données, l'extensibilité du système et, dans certains
cas, l'amélioration de la sécurité.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Au 21e siècle, les données d'une société concernant le personnel, les affaires, les clients, les salaires, les poursuites, les
transactions, la comptabilité, la fiscalité, les secrets de fabrication, etc. sont d'une importance capitale. En principe stockées
sous forme électronique sur des serveurs ou des ordinateurs individuels, ces données peuvent aussi être hébergées ailleurs,
par exemple sur le cloud.
Stocker les données de sa société sur le cloud n'est pas une chose à prendre à la légère. En effet, la société va confier des
données personnelles et organisationnelles à un tiers qui sera contractuellement chargé de les collecter, de les stocker ou
plutôt, de manière générale, de les traiter. Comme les données sortent de la maitrise effective de la société, cette dernière
doit au préalable s'assurer qu'elles seront bien traitées.
Krios est une société suisse au capital totalement helvétique. Les données sont hébergées exclusivement en Suisse et donc
soumises au droit suisse. Même s’il est envisageable que le gouvernement ou la justice suisse demandent à avoir accès aux
données, il est plus facile de s’y opposer ou de faire valoir ses droits, le cas échéant.
Si les données sont hébergées en Suisse, la loi sur la protection des données (LPD) sera applicable. La LPD énonce un certain
nombre de principes et de dispositions relatives au traitement des données par des personnes privées qui pourront, le cas
échéant, permettre d'attaquer en justice ou de faire valoir ses droits contre toute atteinte à la personnalité ou contre tout
traitement de données non autorisé.
Il est par contre difficile de faire valoir ses droits à l’étranger depuis la Suisse. En utilisant des services comme DropBox,
GoogleDrive, OneDrive, iCloud ou autre service de sociétés américaines, soumises au droit américain, le gouvernement
américain peut accéder aux données sur demande auprès du fournisseur, sans préavis et opposition possible. L’hébergement
de données aux Etats-Unis pose un autre problème. Dans ce pays, il n’existe pas de loi sur la protection des données, même
si l'Union européenne et la Suisse ont conclu des accords avec les États-Unis (appelés safe harbors). Ces safe harbors sont là
pour permettre aux sociétés américaines de traiter des données personnelles provenant d'Europe pour autant que ces
sociétés disposent de standards adéquats de protection de la vie privée et des données personnelles. Ces safe harbors ne
sont pas contraignants de facto, les sociétés ont la possibilité de rejoindre ces programmes, mais n'y sont pas obligées (bien
que ce soit recommandé).
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Captivité
Krios a recours à une technologie et à une interface standardisée, le rapatriement des données dans le système
informatique de l'utilisateur ou leur migration dans le nuage d'un autre prestataire est donc facilement envisageable.
Perte de données
Krios sauvegarde l’ensemble des données hébergées sur des systèmes de stockage tiers, également localisés dans ses
Data Centers en Suisse. L’ensemble des systèmes de stockage haut de gamme sont gérés avec la plus grande sécurité
afin d’éviter toute perte de données.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Krios est régulièrement audité par rapport à ses certifications ISO 9001 et ISO 27001 qui englobent, notamment, les
dispositions sur la protection des données applicables en Suisse. Krios protège les données contre les risques suivants :
destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite;
modification, copie, accès ou autre traitement non autorisés.
Du point de vue du droit de la protection des données, le traitement de données personnelles découlant de l'utilisation
de l'informatique en nuage relève normalement du traitement de données par un tiers au sens de l'art. 10a LPD. Aux
termes de cet article, le traitement de données personnelles peut être confié à un tiers (en l'occurrence, le prestataire
de services) pour autant qu'une convention ou que la loi le prévoie et que les conditions suivantes sont remplies: seules
les traitements que le mandant (en l'occurrence, l'utilisateur du service) serait en droit d'effectuer lui-même sont
effectués et aucune obligation légale ou contractuelle de garder le secret ne l'interdit. Le mandant doit en particulier
s'assurer que le tiers garantit la sécurité des données.
L'utilisateur du service doit s'assurer que le prestataire (le tiers) garantit la sécurité des données au sens de l'art. 7 LPD
et des art. 8 ss et 20 ss OLPD. Ces dispositions prévoient que les données personnelles doivent être protégées contre
tout traitement non autorisé par des mesures techniques et organisationnelles appropriées et qu'il faut assurer la
confidentialité, la disponibilité et l'intégrité des données.
L'utilisation de services en nuage chez Krios n’implique pas de communiquer des données à l'étranger. Les pays
étrangers connaissent très souvent un niveau de protection des données inférieur à celui de la Suisse : les données qui
y sont transmises risquent donc de subir des traitements qui ne seraient pas autorisés en Suisse. C'est pourquoi aucune
donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en
trouver gravement menacée, notamment du fait de l'absence de législation assurant un niveau de protection adéquat
(art. 6, al. 1, LPD), sauf si l'une des conditions visées à l'art. 6, al. 2, LPD est remplie. Il faut considérer qu'il revient en
tout état de cause à celui qui transmet des données à l'étranger de prouver qu'il a pris toutes les mesures nécessaires
pour garantir un niveau de protection adéquat.
Enfin, l'utilisateur répond du droit d'accès (art. 8 LPD) et du droit d'effacer ou de rectifier les données (art. 5 LPD). Ces
droits doivent être garantis en tout temps et leur mise en œuvre doit respecter les prescriptions en matière de
protection des données, ce qui peut poser de grandes difficultés: comme dit plus haut, l'utilisation d'applications en
nuage implique souvent une perte de contrôle sur les données et l'utilisateur ne sait pas ou plus où les données sont
traitées. Cependant, cela ne le libère pas de ses obligations légales.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
Les données doivent être traitées dans le même pays que la société dont elles proviennent, en l'occurrence la Suisse. Tous
les pays n'exigent pas le même niveau de sécurité qu'en Suisse, et tous n'ont pas des normes juridiques semblables. Les pays
de l'Union européenne ont un cadre réglementaire similaire au nôtre et pourraient faire de bons candidats pour la sélection
d'un cloud, mais par principe il vaut mieux ne pas communiquer ses données à l'étranger.
Le corolaire du premier principe est de pouvoir s'assurer de la localisation "physique" des données. Des représentants de la
société doivent pouvoir se rendre sur place, constater et s'assurer que les données sont bien là où l'hébergeur dit qu'elles
sont. Cette vérification doit pouvoir être faite en tout temps.
Contrat
Un critère important du choix de l'hébergeur est sa capacité à fournir une prestation sur mesure, personnalisée. Toutes les
sociétés n'ont pas les mêmes intérêts ni les mêmes données. Il faut donc que le service cloud que propose l'hébergeur soit
adapté et adaptable.
La confidentialité des données doit être assurée. Il est donc primordial que l’hébergeur soit conforme aux principales normes
internationales, notamment les normes ISO 9001 pour les systèmes de gestion de la qualité et ISO 27001 pour la gestion de
la sécurité et la confidentialité des données.
Le for applicable en cas de litige sera un élément déterminant et devrait se trouver en Suisse. Les conditions pour une élection
de for se trouvent à l'art. 17 du Code de procédure civile. Le for en matière pénale ou celui d'une procédure administrative
ne peut être librement choisis.
Les modalités concernant la fin de la relation contractuelle doivent être détaillées. Non seulement les données doivent être
restituées, mais l'hébergeur doit être en mesure de certifier qu'elles ne sont plus en leur possession. A cet égard, il peut être
judicieux de demander l'établissement d'un certificat relatif à la restitution et à la suppression des données.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE
La sécurité des données doit être assurée. L'hébergeur doit mettre en place des mesures et systèmes de contrôle destinés à
empêcher les soustractions de données ainsi que les fuites. Il doit donc disposer d'instruments informatiques visant à
empêcher notamment les intrusions, mais il doit aussi former et sensibiliser ses employés concernant ces risques. De plus,
des mesures de sécurité visant le personnel doivent également être adoptées et connues de celui-ci, en particulier afin de
faire obstacle aux vols de données en interne.
Tant la société que l'hébergeur devraient demander des conseils au Préposé fédéral à la protection des données et à la
transparence (ou au préposé cantonal si c'est un organe de l'État qui souhaite utiliser les services d'un cloud privé). La
démarche est judicieuse pour l'hébergeur, car cela peut constituer un gage de confiance supplémentaire auprès de ses clients.
Pour la société, cela lui permettra notamment d'être sensibilisée à certaines problématiques.
Assurances
Il serait avisé pour la société de conclure une assurance de protection juridique permettant de couvrir les frais d'un éventuel
procès (pénal ou civil), afin d'éviter de vider la trésorerie ou de devoir renoncer à porter une affaire devant les tribunaux par
manque de liquidités. En effet, si c'est elle la demanderesse, il lui reviendra de verser des avances de frais qui peuvent se
chiffrer en milliers de francs.
Une assurance pertes d'exploitation devrait aussi être considérée afin de couvrir le cas où les données ne seraient plus
accessibles suite à un dysfonctionnement du cloud. Dans une telle situation, les données étant indisponibles, c'est toute la
société qui peut se retrouver paralysée, et donc subir des dommages comme une perte sur son chiffre d'affaires.
Conclusion
Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire. En fin de compte, l'utilisateur du
service reste responsable du respect des prescriptions en matière de protection des données, puisqu'il mandate un
prestataire, et il répond des infractions en la matière auprès des personnes concernées. Par ailleurs, il est fortement
recommandé de choisir le cloud privé 100% suisse, géré par un prestataire au capital helvétique tel que KRIOS Suisse SA.
HÉBERGEMENT
DÉVELOPPEMENT
MATÉRIEL INFORMATIQUE