Cloud : le capital informationnel dans les nuages, mais les pieds sur terre …

j.Triquell – Août 2010

Cloud computing …  la mauvaise réputation ?  Quelles questions ?  Quelles précautions ? Doit-on s’en passer ?

Le « cloud computing » (« informatique dans les nuages ») est sans nul doute l’avenir d’une informatique dématérialisée, prometteuse et économique (« pay-per-use ») en entreprise.

Jugée déjà par certains comme l’opportunité la plus marquante  après internet, elle est déjà semble-t-il la technologie majeure pour l’année 2010. Le marché de ces services envisage une croissance des revenus dans le monde de 16,6% en 2010 et devrait représenter 13% du marché européen des logiciels et services en 2015, contre 1,5 % en 2009. Microsoft s’est d’ailleurs positionné sur ce marché en évoquant que le « cloud devrait guider l’évolution globale de l’industrie »…

Cette forme d’architecture informatique orientée service est basée sur l’hébergement des ressources matérielles et logicielles de l’entreprise chez des opérateurs spécialisés. C’est une formidable opportunité pour les entreprises en cette période de réduction des coûts, bien naturellement pour les PME qui trouvent là un moyen de disposer rapidement d’un service informatique de qualité, obtenu grâce à cette dématérialisation des infrastructures et des services informatiques.

Mais cette technologie soulève également beaucoup d’interrogations sur la sécurité de l’information…  Quelles sont les questions à se poser ? … LIRE LA SUITE ?Ce marché en pleine expansion voit apparaître de nombreuses offres dont certaines ne présentent pas les garanties indispensables de sécurité, pour la grande majorité des entreprises dont le capital informationnel et immatériel  représente aujourd’hui la principale valeur.

L’attrait de ces offres, alliant simplicité de mise en œuvre, performance et coût réduit, ne doit pas occulter la nécessité impérieuse d’accompagner ce changement par une démarche professionnelle de sécurité physique, logique, juridique et économique. Le « cloud computing » concerne en effet la plupart des composantes du capital immatériel de l’entreprise et son épine dorsale qu’est le système d’information.

Pour autant, ce service s’inscrit dans une (bien souvent nécessaire) démarche globale d’externalisation et ne peut pas être écarté sous le seul prétexte qu’il présente des risques.

La notion de « périmètre de l’entreprise » prendra ici toute son importance… et c’est sous l’aspect traditionnel de « gestion des risques » que les volets  « sécurité de l’information », « sécurité juridique » et « sécurité économique » devront être abordés, en vue d’une recherche  de réduction des vulnérabilités.

La sécurité de l’information

Pour simple rappel, de quoi s’agit-il ? :  « c’est la capacité d’un réseau ou d’un SI de résister, à un niveau de confiance donné, à des évènements accidentels ou des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu’ils rendent accessibles. »(règlement communautaire)…

Sur ces points, le « cloud Computing » révèle des inquiétudes légitimes et nombreuses sont les questions à traiter :

  • Quels sont nos impératifs en disponibilité des informations ? Comment allons nous nous assurer de la disponibilité de nos informations  ?   (Capacité d’un système d’information à pouvoir être utilisé à tout moment en fonction des performances prévues)
  • Va-t-on disposer de sites de réplication ? Comment (description précise) et sous quel délai va être réalisée la restauration du système ? Que se passe-t-il si le réseau internet est inutilisable ? (le dernier exercice Piranet réalisé récemment en France au sein des services institutionnels s’est appuyé sur cette éventualité.)
  • Quelles sont les garanties d’intégrité des informations ? (Propriété qui garantit qu’il sera exécuté la fonction attendue de façon complète sans manipulation non autorisée volontaire ou accidentelle – Propriété qui assure qu’une information n’est modifiée que par les utilisateurs habilités dans les conditions d’accès normalement prévues).  Cette intégrité va revêtir une importance toute particulière dans le cadre de l’administration de la preuve numérique (voir ci-après).
  • Comment la confidentialité des informations va être assurée ?  (Propriété qui assure que dans les conditions normalement prévues, seuls les utilisateurs autorisés (ou habilités) ont accès aux informations concernées),
  • Quel dispositif va-il assurer l’authentification des informations ?  (permettant de s’assurer de l’origine des informations). Cette condition concerne effectivement la technologie externalisée mais impose au sein de l’entreprise même, la mise en œuvre d’un système d’authentification forte associé à une formation/sensibilisation de l’ensemble des utilisateurs sur l’importance de la procédure d’authentification et de signature électronique.
  • Comment le système assure-t-il la traçabilité des informations ? la conservation  de ces informations de traçage ?  l’« auditabilité » de l’information (possibilité de contrôler le bon déroulement du processus ayant permis d’obtenir, de conserver et de produire sur demande l’information).
  • Le dispositif permettra-il d’assurer une bonne administration de la preuve numérique ? . En effet,  si « l’écrit électronique a la même force probante que l’écrit sur support papier »(1316-3 du code civil), il est strictement  soumis à certaines conditions évoquées par l’article 1316-1 du code civil et le décret du 30 mars 2001, notamment qu’il soit conservé dans des conditions de nature à en garantir l’intégrité, avec les notions de « preuve fidèle et durable » (1348 du code civil), de lisibilité du document, de stabilité du contenu informationnel, de traçabilité des opérations sur le document . C’est en fonction de la démonstration technique et organisationnelle faite autour de la preuve apportée, que le juge pourra ou non la retenir comme telle.

La sécurité juridique :

La délégation de pouvoir impose notamment un cadre de relations hiérarchiques organisées. Elle ne peut s’appliquer entre une société cliente et le salarié d’un tiers. Le fait d’ « infogérer » tout ou partie du SI ne décharge par les préposés de l’entreprise cliente de leur propre responsabilité.

Le client reste le responsable du traitement de données et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est en effet à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée. (Cf post sur ce blog : «Infogérance à distance » et sécurité des entreprises»)

L’entreprise cliente reste donc directement concerné par les prescriptions de la loi :

  • Obligation de vigilance et de protection des informations  (sauvegarde du patrimoine de l’entreprise, contrôle interne (loi sécurité financière, SOX), données à caractère personnel (loi informatique et libertés-226-17 du code pénal)
  • Obligation de confidentialité des  DCP (données à caractère personnel) (226-22 du code pénal)
  • Obligation de respecter la durée de conservation de ces informations à caractère personnel (226-20 du code pénal)
  • Obligation de détermination de l’objectif du traitement des D.C.P. (226-21 du code pénal)
  • Respect des prescriptions en matière de transfert de D.C.P. vers un pays tiers. Se pose en effet la question du lieu de stockage puisque les données vont relever du régime juridique du pays dans lesquelles elles sont détenues – Quel va être le cadre législatif encadrant cette externalisation.  (Les informations ne sont bien souvent plus figées dans l’espace. Elles peuvent être réparties en fonction de la charge). Est-il procédé à un transfert des données à caractère personnel vers un pays hors de l’union européenne (attention aux formalités imposées par la loi informatique et libertés) ?
  • Respect des exigences légales de conservation des informations (archivage informations comptables ou liées à la comptabilité et aux relations commerciales, administration de la preuve)

Comment peuvent être démontrées les  «  précautions utiles de protection des données » prescrites par la loi ?

La responsabilité civile respective de l’infogérant « cloud » et du client est régie par le contrat. Il est donc vivement conseillé d’élaborer des contrats exhaustifs avec le prestataire (Service Level Agreement (SLA), en français : contrat de niveau de service), qui vont prendre en compte le périmètre concerné, le contenu exact des prestations attendues (qualité de service requise) face aux impératifs évoqués  (disponibilité, intégrité, confidentialité …), les obligations de résultat

Des mentions particulières détailleront les procédures de contrôle du respect de ces exigences (Certains prestataires n’autorisent pas la réalisation de tests d’intrusion sur le cloud) et la possibilité d’évolution des exigences et de ces procédures.

Naturellement, seront également prévus l’engagement de confidentialité, la dépendance, la prévision de l’évolution du contrat, la réversibilité (clause de retour, transfert des services), les facteurs déclenchant de cette réversibilité (carence, délai, coût…), les clauses de fin de contrat, la nature des responsabilités et l’éventuelle convention de preuve.

La sécurité économique

Et si nos informations étaient communiquées à nos concurrents ? Quelles seraient les conséquences pour notre entreprise ?

Dans un environnement très concurrentiel et face aux stratégies offensives de certains pays, nous sommes en droit de nous interroger sur des rapprochements entre « fournisseur de cloud » et gouvernements d’Etats.

Dans ce contexte, l’hébergement du capital informationnel de son entreprise dans l’un de ces pays revêt toujours un risque qu’il convient de prendre en considération dans la réflexion.   Souvenons nous que dans certains pays, la protection des données n’a pas l’encadrement juridique que nous connaissons en France mais aussi que leur culture patriotique rend très efficace un réseau de souveraineté technologique très actif.

Sans tomber dans un protectionnisme primaire, le chef d’entreprise souhaitant s’orienter vers un cloud pourra s’intéresser aux solutions françaises ou européennes, d’autant s’il s’agit  de « clouds privés » dont l’accès peut être limité à une seule entreprise.

(Voir également le post sur ce blog : « securite » : crise, paradoxes, protection des savoir-faire … et sous-traitant : le maillon faible ?)

Quoi qu’il en soit, puisque l’infogérant cloud se trouve dans le périmêtre de sécurité de l’entreprise cliente, le chef d’entreprise va utilement porter toute son attention sur ce prestataire, notamment par sa stratégie de veille : Quelle est sa crédibilité ? sa solvabilité ? sa fiabilité ?, quels sont ses liens éventuels avec nos concurrents ? avec l’Etat étranger sur le sol duquel il se trouve ? …  Certains de ces prestataires sont de jeunes sociétés présentant une vulnérabilité élevée de faillite ou d’influence externe…

Penser que l’on pourra se passer aujourd’hui ou demain de la formidable opportunité du « cloud computing » est une gageure. Cette technologie atteint un certain niveau de maturité, semble-t-il suffisant pour que de grandes entreprises (comme Alstom aujourd’hui)  l’intègrent dans leur système d’information. Mais cette démarche nécessite un  investissement intellectuel, organisationnel et technique non négligeables, à la hauteur de l’importance stratégique de la brèche causée dans le système d’information et le capital informationnel de l’entreprise…

Joseph Triquell

AroundRisk – Août  2010

« SECURITE » : CRISE, PARADOXES, PROTECTION DES SAVOIR-FAIRE … ET SOUS-TRAITANT : LE MAILLON FAIBLE ?

« INFOGERANCE A DISTANCE » ET SECURITE DES ENTREPRISES »

Publicités

3 réflexions au sujet de « Cloud : le capital informationnel dans les nuages, mais les pieds sur terre … »

  1. Il faut effectivement prendre beaucoup de précautions avant de souscrire à un service en ligne.

    Mais comment se protéger des « idées farfelues pour faire de l’argent ? (je viens de lire un excellent billet su readwriteweb : http://fr.readwriteweb.com/2010/08/11/divers/idees-farfelues-google-monetisation/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+readwriteweb-france+(ReadWriteWeb+France) laissant imaginer de futurs usages rémunérateurs pour les fournisseurs de ces services, qui exploiteraient les failles juridiques portant sur les contrats passés sur la base d’idées farfelues qui ne le seraient finalement pas …

    Frédéric Marin – alfeo.org

  2. 2 ans après votre article, je constate que les questions sont toujours là et les interrogations toujours aussi vives. Par contre il me semble qu’au sujet des garanties proposées par les sociétés, le cloud computing professionnel n’est plus autant à la traîne. Reste qu’un bon contrat doit remplir les conditions suivante: un périmètre d’éxecution bien défini, un service personnalisé, une clause d’évolution sir le contrat est longue durée, et la mise en place d’un plan qualité.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s