Les faussetés véhiculées sur Patriot Act et l'informatique en nuage

Publié le 21 mars 2011 par Nicolas Roberge

Savez-vous ce qu’est le Patriot Act? C’est une loi qui a été créé après les attentats terroristes du 11 septembre 2011 aux États-Unis pour outiller les forces policières à contrer un événement similaire dans le futur. Le Patriot Act est l’argument principal pour décourager toute entreprise canadienne à adhérer auxservices informatiques dans les nuages. Toutefois, en faisant des recherches, j’ai constaté qu’onvéhicule beaucoup de demi vérités, voire même des faussetés à ce sujet.

J’ai fait examiner la loi canadienne par mon avocate pour en avoir le coeur net. L’idée, sans cessevéhiculée que c’est plus dangereux d’héberger ses données aux États-Unis plutôt qu’au Canada,manque de nuance et me parait un peu sensationnaliste.

La loi antiterroriste canadienne et les mandats de perquisition

Les articles 83.28 et 83.29 du Code criminel canadien spécifient que, sur consentement d’un procureur général, un agent de la paix peut demander à un juge une ordonnance autorisant la recherche de renseignements dans le cadre d’une enquête relative à une infraction pour terrorisme.

Le juge émettra une ordonnance s’il constate qu’il existe des motifs raisonnables de croire qu’une infraction de ce type a été, ou sera commise, et que ces renseignements seront essentiels au déroulement de l’enquête. Ce type de demande se fait en l’absence de la personne concernée (requête ex parte). C’est un processus normal en droit criminel, car on veut éviter que le suspect détruise éventuellement des preuves avant l’émission du mandat. Selon les recherches que j’ai effectuées, l’article d’investigation (83.28) a été appliqué au moins une fois dans le cadre de l’enquête sur Air India.

Les États-Unis : le bar ouvert des mandats de perquisition?

Le même processus existe aux États-Unis, à une exception près. Les enquêteurs policiers peuvent effectuer la perquisition et faire la demande du mandat après le fait. Ceci ne leur donne pas forcément le droit de fouiller n’importe qui ou n’importe quoi à leur convenance. Tout comme le Canada, les États-Unis sont un pays de droits où les citoyens sont protégés par des lois. Comme au Canada, vous devez être suspecté d’activité terroriste. La très grande majorité de la société civile et la quasi-totalité des entreprises ne font pas dans le terrorisme. C’est le cas pour ma clientèle, alors ils ne devraient pas s’en préoccuper.

Me David Fraser, que j’ai cité dans un billet précédent, affirme que ce pouvoir de faire des perquisitions dites « sneak and peek » existe aussi dans la loi canadienne. Je n’ai toutefois pas été capable de contrevérifier ce fait.

Est-ce confidentiel malgré tout?

La confidentialité est assurée par la grande majorité des fournisseurs de type « cloud » . Toutefois, cet engagement n’empêchera pas les forces policières d’effectuer des fouilles lorsqu’il y a soupçon d’activité criminelle. Si votre entreprise fait l’objet d’un mandat de perquisition, vous n’aurez pas le droit cacher des informations aux enquêteurs. Les engagements de confidentialité entre vous et le fournisseur en nuage, et celles entre vous et vos clients, ne s’appliqueront pas lors de cette éventualité. C’est d’ailleurs le même processus qui prévaut lorsque le fisc décide de vérifier vos états de compte !

L’opinion du commissionnaire à la vie privée du Canada

Le commissionnaire à la vie privée du Canada a rendu une opinion suite à une plainte de 2 utilisateurs du service de courriel de canada.com. L’entreprise avait l’intention d’impartir ce service aux États-Unis. Voici un passage éloquent qui démontre que les lois américaines sont pratiquement identiques à celles du Canada :

Le risque qu’un fournisseur de services situé aux États-Unis doive communiquer des renseignements personnels aux autorités américaines n’est pas propre aux organisations américaines. Dans le contexte de la sécurité nationale et des mesures antiterroristes, les organisations canadiennes sont sujettes au même genre d’ordonnance de communiquer des renseignements personnels de Canadiens et de Canadiennes aux autorités canadiennes, et pourraient être aussi susceptibles d’en recevoir. Plusieurs ententes bilatérales officielles entre des organisations canadiennes et américaines analogues ont également été mises en place afin de prévoir une coopération et un échange de renseignements pertinents.

via Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-394

Respectez la loi

En résumé, si vous respectez la loi, le Patriot Act ne devrait pas être un enjeu dans votre analyse de risque quand vous évaluez un service informatique en nuage.

2e CloudCamp Quebec le 20 avril 2011

Publié le 17 mars 2011 par Nicolas Roberge

Un 2e CloudCamp Québec aura lieu le 20 avril 2011. Les inscriptions sont maintenant ouvertes et toujours gratuites. L’événement se déroulera encore une fois à la Brasserie Korrigane sur la rue Dorchester vers 13:00 dans le quartier Saint-Roch. Cette après-midi aura le format barcamp où les participants peuvent prendre la parole et présenter un sujet au groupe suivi d’une discussion ouverte. Au plaisir de vous voir!

Endroit

Brasserie la Korrigane
380, rue Dorchester
Québec (Québec)
G1K 6A7
Canada

Inscription

Rendez-vous sur la page d’inscription sur EventBrite en cliquant sur le bouton ci-dessous :

Soutien financier et commandites

Cet événement est gratuit pour tous les participants. Si vous voulez soutenir la tenue de cet événement, veuillez communiquer avec moi pour connaître les plans de commandite abordables mis à votre disposition.

L'offre web en intelligence d'affaires dans le nuage

Publié le 17 février 2011 par Nicolas Roberge

Répondre

Alain McKenna a fait un super topo dans le journal la Presse sur l’état de l’offre des produits d’intelligence d’affaires et d’analyse de données sur le marché. J’ai d’ailleurs été interviewé pour obtenir mon son de cloche sur l’offre de service actuelle dans ce segment des TI dans le « cloud ». La transition vers l’informatique en nuage change beaucoup l’offre actuelle et nous amène certains défis lors de cette transition.

Louis-Michel Mathurin, Vice-président d’AgileDSS, explique les défis quant au transfert d’importantes quantités données entreposées localement vers le nuage et le niveau de maturité de ces nouvelles solutions :

Il ne faut pas se faire d’illusions, poursuit-il: les services web d’analyse de données ne sont pas encore aussi sophistiqués que ceux en entreprise. Cela dit, les géants dans ce domaine, d’IBM à SAS, s’ouvrent lentement au phénomène de l’infonuagique. Le défi qui s’impose est simple: le volume de données à transférer vers un serveur extérieur est si important qu’il nuirait à l’efficacité de l’outil et empêcherait d’obtenir des résultats sur-le-champ.

Cette phase de transition entre les systèmes existants situés dans vos infrastructures locales et d’un autre dépôt à distance sollicite davantage votre lien internet. Il existe des stratégies d’intégration de systèmes qui permet une réplication en temps réel et d’éviter de copier inutilement des données en double ou non pertinentes. Malgré que les liens internet à large bande sont de plus en plus accessibles, il faut tout de même être conservateur dans leur utilisation si on ne veut pas payer trop cher.

Dans mon entrevue, j’ai signifié au journaliste que les services SaaS en BI (« business intelligence ») ou intelligence d’affaires sont pratiques pour analyser des données d’autres logiciels-services déjà en ligne. Ces compagnies sont connectées sur internet avec des liens réseau à très haute capacité. Ils sont ainsi capables de siphonner rapidement des données d’un autre service disponible sur le nuage :

Ce que les outils infonuagiques de veille permettent de faire plus facilement, c’est de lier entre elles les données provenant d’autres services infonuagiques. Par exemple, les habitués de SalesForce, de BaseCamp ou même des applications Google n’ont pas besoin d’envoyer leurs données vers le nuage, puisqu’elles y sont déjà. Il suffit de trouver un service web compatible avec les applications qu’ils utilisent déjà.

Je vous invite à lire l’article au complet, c’est très bien vulgarisé pour un sujet aussi pointu.

Conférence sur le Cloud computing au Web à Québec (WAQ)

Publié le 14 février 2011 par Nicolas Roberge

Répondre

On m’a invité à présenter un court séminaire sur le « cloud computing » à la première édition du Web à Québec (WAQ) qui se déroulera les 24 et 25 février prochains à l’Hôtel Pur. Le but de cette conférence est de vous aider à démêler ce qu’est l’informatique en nuage et aussi ce qui ne l’est pas. Aussi, je veux vous amener à réaliser comment la montée du web a provoqué des changements importants dans l’industrie très traditionnelle des TI. Voici la description sur le site du WAQ :

La montée du web et de l’accessibilité à l’internet haute vitesse depuis 15 ans ont rendu possibles des services informatiques consommables à distance. Cette offre de service depuis quelques années s’est grandement précisée et a beaucoup mûri. Que ce soit la location d’infrastructures virtuelles, de plateformes de développement rapide d’applications ou de logiciels payables à l’utilisation, le « cloud computing » a apporté de nouvelles solutions aux consommateurs de techno. Cette conférence vise à vous aider à démêler le nouveau vocabulaire, dont les acronymes IaaS, PaaS et SaaS.

via WAQ – Le Web à Québec.

La séance aura lieu le 24 février 2011, de 13 h 30 à 14 h. Au plaisir de vous voir nombreux et d’échanger avec vous!

Si ce n’est pas déjà fait, inscrirez-vous au WAQ.