Google contre la Chine : pas de remise en question des accès aux Google Apps
Les utilisateurs Premium des Google Apps n’auront rien à craindre des affres de Mountain View en Chine, affirme le moteur de recherche. Des propos confirmés au MagIT par un spécialiste du Saas qui rappelle que les entreprises étrangères sur place ont déjà trouvé la parade contre toute coupure d’accès.
La bataille géopolitique qui oppose Google à la Chine peut-elle avoir des conséquences sur les utilisateurs des Google Apps localisés dans l’Empire du Milieu ? Cette question, certains grands comptes qui ont décidé de souscrire aux éditions Premium des outils de productivité de Mountain View pourraient se la poser. Des entreprises comme Valeo par exemple, l’équipementier automobile français, qui a fait le choix d’équiper ses 30 000 employés des outils Google - la société n’a pas répondu aux demandes de la rédaction. Un projet qui doit se propager au niveau international et s’installer à terme sur les postes de travail de sa filiale en Chine. Les questions pourraient alors être : comment l’accès aux services sera-t-il géré ? Les données sensibles de l’entreprise courent-elles un risque ? Bref autant de questions qui pointent du doigt plus globalement le modèle du Saas et ses caractéristiques.
Google, quelque jours après avoir pris la décision de couper les filtres qui le liaient à la censure imposée par le gouvernement chinois, puis en reroutant les utilisateurs chinois vers ses serveurs de Hong-Kong a tenu à rassurer ces mêmes clients. Selon Mountain View, les clients de ses Apps sont protégés contre tout acte malveillant, ou encore contre une éventuelle coupure d’accès orchestrée par le gouvernement chinois.
Puis d’une façon plus pragmatique, il explique que si, quand bien même, cela ne suffisait pas, il existe des moyens techniques pour garantir un accès sécurisé et de longue durée vers les applications métiers reposant sur les Apps. “Il est important de savoir qu’il y a plusieurs configurations réseaux et technologies associées pour assurer un accès permanent à vos services métiers critiques comme Gmail, Google Calendar et Google Docs. Ces configurations réseaux, telles que le VPN, le tunnelling SSH, ou le recours à un serveur Proxy, sont déjà été mis en place par des entreprises internationales dont les utilisateurs sont situés à différents points du monde. “
Un point que confirme Laurent Gasser, directeur général de Revevol, spécialisé dans le conseil Saas auprès des entreprises, pour qui la décision de Google n’aura purement aucun impact sur les utilisateurs de Google Apps. “Les entreprises étrangères en Chine utilisent depuis bien longtemps leur réseau privé VPN pour accéder à Internet, puis ressortent à un autre endroit du monde”, explique-t-il. Un endroit comme Singapour ou Hong-Kong par exemple. “De plus, les Google Apps ne sont pas hébergées sur les serveurs chinois”, ajoute-t-il. En effet, si Google a notamment placé son infrastructure au sein de datacenters localisés en Chine pour isoler les sites chinois - et permettre ainsi la mise en place des filtres de censure imposés par le gouvernement local -, les Google Apps ne reposent pas sur cette infrastructure - qui est dédiée donc au seul moteur de recherche Google. Dans leur billet de blog, les équipes techniques des Google Apps expliquent d’ailleurs que les données des entreprises ne sont pas en danger car non hébergées sur le territoire chinois. Elles précisent également que les employés chinois de la firme n’ont pas accès à ces mêmes données. Ecartant d’un revers de la main les potentiels risques liés aux réglementations locales, changeantes d’un pays à l’autre (voir encadré).
“Les entreprises savent [quand ils souscrivent aux Google Apps, NLDR], que leurs données ne sont pas localisées en Chine”, commente Laurent Gasser. “Et surtout Google certifie la localisation des données, si on lui demande”, affirme-t-il.
Ce dernier point constitue justement l'un des flous artistiques qui entourent le Saas et les infrastructures de Cloud Computing. Aujourd’hui, alors que la réglementation européenne impose aux entreprises situées dans l’UE la sauvegarde de données sur le territoire de l’Union, rien n’est purement formalisé concernant les politiques de conformité. Par exemple, à cette question, Microsoft, lors de la PDC, se contentait de répondre : "Nous donnons le choix aux utilisateurs de l'emplacement du datacenter où seront hébergées et répliquées leurs données".
Le risque des réglementations locales |
SaaS, PaaS et Cloud Computing soulèvent de nombreuses questions pour les auditeurs. Rolf von Roessing, vice-président de l’Isaca (Information Systems Audit and Control Association), relève notamment « qu’il faut, d’une part, considérer que, puisqu’elles sont distribuées géographiquement, les données et applications sont plus difficiles à tracer et, d’autre par, que certaines parties des applications et des services se trouvent hors du périmètre accessible à l’auditeur. » Mais derrière ces questions se cache la capacité de la direction d’une entreprise à prouver aux autorités de son pays qu’elle respecte bien les réglementations locales relatives à certains traitements. Et notamment à s’assurer de l’endroit où sont stockées et traitées ces données. Sans compter les risques d’évolution réglementaire brutale dans un pays tiers, où se trouveraient ou seraient effectivement traitées les . Et de citer l’exemple de l’Inde dont le gouvernement, juste après les attentats d’Ahmedabad et de Bangalore, en juillet 2008, voulait obtenir de RIM un assouplissement du chiffrement des transmissions sur les Blackberry utilisés dans le sous-continent. A des fins d’écoute. Une demande rejetée par le fournisseur de service canadien au motif que ses serveurs sont au Canada, hors dehors de la compétence du gouvernement indien. |