Passer au Cloud, aussi un exercice de gestion des risques pour la DSI
Est-il possible et, même, raisonnable, de passer à une offre de type Cloud - IaaS, PaaS ou SaaS - rapidement, sans une étude précise ? Non. C’est du moins ce qui ressort clairement d’une table ronde organisée le jeudi 1er juillet par nos confrères de CNIS. Un échange au cours duquel a notamment été soulevé - chose rare - la question du risque assurantiel. Lequel vient bien sûr s’ajouter à nombre d’autres risques qu’il convient d’examiner précisément avant de sauter le pas. Tout en gardant la main, afin de ne pas se laisser griller la politesse par des métiers trop pressés.
La gestion du risque, avec le Cloud Computing, commence manifestement bien avant la mise œuvre. Ou du moins le mériterait-elle. François Coupez, avocat spécialiste du droit du multimédia et de l’informatique, officiant au sein du cabinet Caprioli & Associés, invite directement à une certaine prudence. Avec un premier élément à prendre en compte : que mettre dans le Cloud ? « Cela dépend exclusivement de la nature des données, de l’endroit où elles seront stockées - surtout en ce qui concerne les données personnelles. » Bref, pour lui, le point de départ, c’est d’abord un inventaire assorti des contraintes réglementaires associées à chaque élément. Gérôme Billois, manager de l'activité sécurité et gestion du risque du cabinet de conseil Solucom, explicite la démarche : « nous utilisons une matrice sur deux axes - dépendance au fournisseur et contraintes de conformité - pour déterminer ce qu’il est intéressant de placer dans le Cloud. »
La capacité à auditer son prestataire
L’adoption du Cloud Computing validée, se pose la question du choix de son prestataire. Un point clé bien plus délicat qu’il ne pourrait y paraître au premier coup d’œil. Gérôme Billois souligne en particulier que « la question de l’audit est très épineuse ». Or, « pour les industriels du Cloud, on touche souvent là à des secrets de industriels. Chez les grands anglo-saxons, c’est clair et net : c’est une fin de non recevoir. » Alors, au final, il faut se fier aux compte-rendus « de grands noms de cabinets d’audit. Mais on perd clairement un degré de visibilité ». Cela dit, pour Gérôme Billois, « c'est acceptable sur certains services.»
Pascale Gelly, administratrice à l’AFCDP (l’association des correspondants CNIL en entreprise) et avocate au cabinet Gelly, souligne que, pour faire sortir des données personnelles de l’Union Européenne, il existe un processus de certification. Mais, d’une part, il ne dédouane pas l’entreprise de sa responsabilité sur les données personnelles et leur sécurité et, d’autre part... il intègre des clauses relatives à l’audit. Un moyen qu’elle souligne avoir récemment utilisé lors d’une négociation pour, justement, réussir à obtenir d’un prestataire l’intégration au contrat d’une clause autorisant son audit par le client.
Assurances : externaliser n'est pas se dédouaner
Luc Vignancourt, courtier en assurance du cabinet Marsh, souligne au passage le besoin de surveiller l’impact, sur son activité, d’une défaillance du prestataire. Tout à sa spécialité, il insiste sur le fait que « toute décision d’externalisation aura un impact sur les contrats d’assurance de l’entreprise ». En particulier, le contrat dommages est assorti d’une obligation de déclaration - « un assureur aura du mal à accepter qu’on lui cache l’emplacement des datacenters ». En outre, le contrat responsabilité civile « n’autorise peut-être pas la renonciation à recours au moins partielle » - les fameux disclaimer - que le prestataire pourrait être tenté d’imposer.
L'interopérabilité, ou quand le Cloud se fait nébuleux |
Pour Gérôme Billois (Solucom), l'interopérabilité, avec les offres Cloud, "est un vrai souci aujourd'hui. Les projets partent des métiers, souvent très vite, sans urbanisation avec le reste du SI." Jusqu'à indiquer, avec une pointe d'ironie, que "plusieurs nuages créent l'orage". De son côté, Gilles Mergoil (Neoxia) assure que "les clients voient très vite venir les problèmes d'interopérabilité. La seule interopérabilité que l'on ait pu démontrer, c'est au niveau des données avec des invocations de services (XML, etc.)." |
Cliquez pour dérouler |
Bref, pour lui, il faut s’en tenir aux règles fondamentales : même en cas d’externalisation, « vous restez le gestionnaire de vos risques. Et il ne faut pas compter sur les clauses de responsabilité [pour vous couvrir] : à les faire jouer, vous obtiendrez peut-être quelque chose - sans assurance que cela couvre votre préjudice - mais cela prendra du temps ».
François Coupez (Caprioli & Associés) va plus loin : « quel est le droit applicable au dossier ? C’est l’une des premières batailles dans la négociation du contrat. Si ce n’est pas le droit français qui s’applique, on va au devant de problèmes de responsabilité, de droit pénal... » Au-delà, il soulève la question de la traçabilité et, notamment, des engagements des éventuels sous-traitants du prestataire... « Tous ces points là doivent se retrouver dans les contrats d’externalisation. Mais ce n'est pas encore toujours le cas. » Et, pour lui, surtout, « le contrat n’est pas un objet merveilleux qui résout tout ».
Prendre de l’avance... sur les métiers
Faut-il fermer la porte aux déploiements de solutions dans le nuage ? Non. Et surtout pas du côté de la DSI, semblaient entonner en choeur les participants de la table ronde. Et Gérôme Billois (Solucom) d’évoquer « les outils métiers, notamment de CRM, que l’on voit parfois arriver hors de tout contrôle ». Gilles Mergoil, Pdg de Neoxia (SSII spécialiste des architectures distribuées), abonde dans ce sens, en relevant que « trop souvent, le processus de choix penche surtout du côté des métiers. » Des métiers pressés de disposer rapidement de leurs outils, à moindre coût. Bref, pour Gérôme Billois, « la DSI doit avoir un discours positif [sur le Cloud] pour ne pas se faire doubler par les métiers ». Et se trouver, plus tard, confrontée à des menaces qui n’avaient pas été anticipées.