Pour les e-commerçants et pour les entreprises dématérialisées, les sites web ainsi que les bases de données constituent des actifs vitaux pour le maintien et le développement des activités.

Désormais, le recours à l’externalisation est devenu une pratique courante dans le domaine des systèmes d’information. Cette pratique présente un certain nombre d’avantages, mais aussi des risques qu’il convient d’évaluer avant de prendre cette décision.

En effet, l’incendie qui s’est déclaré dans la nuit du 9 au 10 mars sur le campus alsacien d’OVH, a révélé l’existence d’une menace et de nombreux clients ont accusé l’entreprise de ne pas avoir suffisamment protégé leurs données.

Dans un tel contexte, il est légitime de s’interroger sur les précautions à mettre en œuvre pour éviter toute perte de données et sur la responsabilité de l’hébergeur ou prestataire ?

⚠️ Quels sont les risques ?

Avant de choisir un prestataire, il convient de s’assurer que l’ensemble des lieux d’hébergement (site principal, site de secours, de sauvegarde, etc.) répondent d’une part aux exigences de sécurité.

La majorité des prestataires proposent des offres d’hébergement mutualisé qui consiste à héberger plusieurs services sur un seul et même serveur, afin de rationaliser les ressources.

Toutefois, dans cette hypothèse, le risque de perte de disponibilité, d’intégrité ou de confidentialité des données stockées est avéré. En effet, le service hébergé est étroitement lié à d’autres services dont certains peuvent être vulnérables.

✔️ Quelles sont les précautions à mettre en place ?

Si l’hébergement sur une machine spécifique doit être privilégié, beaucoup d’entreprises n’ont pas les moyens de mettre en place un tel hébergement.

Dans l’hypothèse du recours à un prestataire qui propose un hébergement mutualisé, il convient de :

• S’enquérir du lieu d’hébergement du site principal et des sauvegardes quotidiennes afin de récupérer rapidement les données en cas de survenance d’un incident affectant les serveurs ;

• Analyser les conséquences de toutes les attaques potentielles en termes de sécurité et de confidentialité ;

• Prévoir dans le contrat les actions permettant un traitement efficace d’un incident, notamment la récupération de tous les journaux et l’isolement du réseau.

📝 Quelle est la responsabilité de l’hébergeur ?

En principe, sans stipulations contractuelles contraires, la responsabilité de l’hébergeur est une obligation de moyens.

C’est pourquoi il est recommandé d’étudier attentivement les conditions des offres de l’hébergeur ou du prestataire, en particulier le régime juridique auquel sont soumises les données et les mesures mises en œuvre pour assurer leur sécurité et confidentialité.

Pour ce faire afin de sécuriser cette externalisation, il est vivement conseillé de rédiger un cahier des charges, partie intégrante du contrat, afin que le prestataire prenne en compte tous les besoins et exigences du donneur d’ordre.