Qui dit cloud computing évoque l’idée de nuage… et de nébuleuse ! Alors avant de foncer tête baissée dans le cloud computing, mieux vaut poser les bonnes questions à son fournisseur de services. Réponses de Jérôme Benbihi, Directeur d’Adenis.
Quelle est la première question à poser à son fournisseur de cloud computing ?
Jérôme Benbihi : Le cloud computing “flotte“ aujourd’hui dans un flou juridique. C’est là son problème majeur ! Au delà du concept marketing qui englobe tout et son contraire, le cloud computing présente une réelle avancée technologique qui demande quelques précautions d’utilisation, en particulier lorsqu’en tant qu’entreprise, on décide de lui confier ses données.
Par conséquent, les premières questions à poser sont d’ordre juridique afin de s’assurer de la “fiabilité“ du contrat. Elles seront :
- Qu’est-ce que je signe ? Quels sont mes engagements, et quels sont ceux de la société de service ?
- Comment seront traitées mes données ?
- Quel est le niveau de confidentialité apporté par votre service ?
Qu’en est-il de la réversibilité des données ?
Jérôme Benbihi : Ce point est fondamental et fait partie des questions primordiales à poser à son fournisseur. Dès qu’on fait appel au cloud computing, on perd l’attachement à ses données : elles ne sont plus sur son serveur ou son poste utilisateur. Dans son contrat, le fournisseur doit s’engager à rendre toutes les données de l’entreprise dans le cas où elle décide de cesser sa collaboration. Les clauses à ce sujet doivent être extrêmement claires et précises.
Quels sont les risques encourus par une société en cas de contrat défaillant ?
Jérôme Benbihi : L’impact peut être significatif pour une société comme celui d’une perte de chiffre d’affaires de quelques jours due à l’impossibilité à se connecter et à obtenir ses données. J’en profite pour citer le troisième point clé, celle des assurances contractées par le prestataire de cloud computing. Si aucune clause n’est indiquée en cas de défaillance de son data center et d’indemnisation quant à la perte du chiffre d’affaires occasionné, il faut mieux changer de fournisseur ! Aucun prestataire n’est totalement à l’abri d’une coupure d’électricité qui bloque ses serveurs. Comment, dans ce cas, va-t-il indemniser ses clients de leur perte de CA ?
Qu’en est-il des aspects technologiques ?
Jérôme Benbihi : Là encore, l’offre des prestataires peut paraître nébuleuse. L’essentiel est que votre fournisseur possède une infrastructure redondée, i.e. qu’il dispose d’une back-up (sauvegarde) de ses données sur un autre serveur. C’est le minimum vital. D’autres points sont à regarder comme :
- la clause de SLA (service level agreement) dont dispose le fournisseur, en décodé, quel est son niveau d’engagement et de services ? En moyenne, les fournisseurs de Cloud computing garantissent 99,9 % de disponibilité (connectivité à leurs serveurs) soit 8 heures d’indisponibilité par an. Mais que se passe-t-il en cas de perte de connectivité ? Quelles sont les pénalités prévues en cas de panne ? etc.
- la localisation des serveurs avec une préférence pour la France. C’est toujours délicat de régler un litige dans un pays dont on ne connaît pas les règles juridiques.
En tant qu’entreprise, est-il prudent de confier toutes ses données ?
Jérôme Benbihi : Si les conditions juridiques et technologiques décrites ci-dessus sont respectées, cela est totalement possible. Bien évidemment, cette décision dépend des besoins de l’entreprise et des risques liés à son activité. Ces deux points sont à analyser avec sa DSI et son auditeur interne. Le premier pourra proposer un système complémentaire de sauvegarde des données stratégiques et confidentielles. Le second pourra identifier les principaux risques de l’entreprise et délimiter le périmètre des informations et applications à externaliser.
Les risques du Cloud Computing vus par l’agence européenne de la sécurité
L’agence européenne de la sécurité relève 35 risques dans son rapport.
« L’analyse de rentabilisation pour le cloud computing est évident, dit Giles Hogben, un expert de l’ENISA et éditeur du rapport, c’est l’informatique au robinet, disponible instantanément, sans engagement et sur la demande. Mais le problème numéro un, c’est la sécurité : comment puis-je savoir s’il est sûr de faire confiance au fournisseur de nuages avec mes données et dans certains cas, mon infrastructure et l’ensemble des activités. »?
- La perte de gouvernance ou la dépendance vis-à-vis de l’infrastructure en nuage. Les entreprises n’ont plus le contrôle total de la gestion des données, de leur implantation et des différentes applications en ligne.
- La sécurité générale du réseau de l’entreprise et de ses données : avec le cloud computing, l’entreprise doit connecter l’ensemble de ses postes à Internet (directement ou non) et ainsi exposer des données de haute confidentialité à des attaques ou des violations de confidentialité.
- Les questions juridiques posées notamment par la propriété d’abstraction sur la localisation des données du Cloud Computing
- Les questions d’assurance
- Le client d’un service de cloud computing devient dépendant de la qualité du réseau pour accéder à ce service. Aucun fournisseur de service cloud ne peut garantir une disponibilité de 100 %.
En savoir plus
- Le site “areyouinthecloud“, présentation synthétique du Cloud Computing par la société Adenis.
- Réflexions sur le cloud computing et les risques
- Un ouvrage didactique sur le sujet : “Cloud Computing et SaaS, Une rupture décisive pour l’informatique d’entreprise“ écrit par Guillaume Plouin (Ed. Dunod)
- Les risques juridiques du cloud computing étudiés par un cabinet d’avocat.
- Différences entre Cloud Computing et SaaS
Commentaires récents