leszekglasner - Fotolia
Cloud : trois conseils pour se prémunir d’une suspension par votre CSP (Gartner)
Comme l’ont prouvé de récents événements, les fournisseurs de cloud public ont le pouvoir de mettre un terme aux contrats de leurs clients, de manière unilatérale, laissant démunies des entreprises qui peuvent être parfaitement légitimes.
Amazon Web Services, Okta et Stripe ont coupé tous les ponts avec le réseau Parler après l’invasion du Capitole à Washington, en janvier dernier. Cette mesure a non seulement entraîné la fermeture du réseau Parler, mais elle a aussi démontré la volonté des fournisseurs de services IT de supprimer les comptes des clients devenus indésirables.
Dans la mesure où les entreprises hébergent souvent leurs applications métier sur de célèbres clouds publics, les dirigeants sont amenés à réévaluer les risques à la lumière de telles actions.
Motivations qui peuvent pousser à la résiliation d’un contrat cloud
Bien que rare, la fermeture de comptes arrive. Des fournisseurs cloud (CSP pour Cloud Service Provider) ont déjà rejeté, résilié ou annoncé qu’ils n’honoreraient plus leurs contrats avec certaines sociétés.
Par exemple, Mastercard, Visa et PayPal ont mis fin à leur collaboration avec Pornhub, une plateforme de contenus vidéo pour adultes, en décembre 2020. Salesforce a modifié le libellé de ses conditions de service en 2019 pour interdire toutes transactions aux vendeurs d’armes à feu.
Dans leurs contrats, les CSP imposent généralement aux clients d’adhérer à un « règlement d’utilisation acceptable » (« acceptable use policy » ou AUP). Bien qu’il existe des nuances d’une AUP à une autre, la plupart des CSP interdisent a minima les activités illégales, ainsi que les contenus les exposant à une prise de risque excessive.
À différents égards, Parler et PornHub représentent un risque excessif pour les CSP, pourtant protégés par un principe qui les exonère de responsabilité. Certaines organisations plus classiques peuvent néanmoins tomber sous le coup des AUP. Un éditeur de sécurité, par exemple, peut enfreindre la PUA de son hébergeur cloud s’il mène des tests d’intrusion ou d’autres attaques de type « Red Team » pour ses clients.
Autre exemple : il peut arriver qu’une entreprise exerce des activités qui sont illégales dans un ou plusieurs pays, mais pas dans le sien. Malgré la légalité de ces activités dans son pays d’origine, l’entreprise présente un risque pour les CSP internationaux, qu’ils servent ou non des clients implantés dans des pays où ces activités ne sont pas légales.
Les entreprises peuvent également voir leur service suspendu en raison d’une cybersécurité insuffisante ou de violations répétées qui risqueraient de porter atteinte à autrui (cas par exemple de l’utilisation d’instances corrompues par un botnet). Ce risque est présent dans tous les secteurs, même les moins controversés. C’est pourquoi les dirigeants qui pensent avoir des lacunes dans leur cybersécurité doivent vraiment prendre conscience de cet effet de bord possible.
Certains clients peuvent également voir leurs comptes fermer sous la pression de la « vox populi » : activisme des employés, des actionnaires, ou de groupes externes qui s’attaquent à la réputation du groupe – tous motivés par des causes particulières qui leur sont propres.
Les différents CSP adoptent diverses attitudes face à de telles pressions, mais mieux vaut partir du principe que le public et les médias influent sur la prise de décision des fournisseurs lorsqu’on cherche à atténuer ces risques.
Que faire pour minimiser l’exposition aux risques ?
Rares sont les entreprises légitimes à risquer une violation de AUP qui aille jusqu’à la suspension, voire à la résiliation de leur contrat.
Mais pour réduire ces risques qui existent néanmoins, Gartner recommande de négocier un accord d’entreprise à fournisseur plutôt que de se contenter des conditions générales communes, à accepter par un simple clic.
Si les conditions générales suffisent pour des projets pilotes, pour des solutions temporaires mises en place pour la pandémie, ou dans l’attente d’un accord d’entreprise à fournisseur, il est préférable de signer ce type d’accord personnalisé à chaque fois que cela est possible.
À tout le moins, les clients doivent négocier les amendements requis pour minimiser le risque.
Lorsque vous définissez les normes à suivre pour choisir votre CSP, veillez à rédiger toutes les clauses de l’AUP en des termes appropriés, afin d’éviter toute équivoque et mentionner les exceptions. Tous ces contrats doivent évidemment être examinés par un conseiller juridique, expert des contrats d’hébergement cloud.
Il est également essentiel de définir une gouvernance adaptée pour le contenu hébergé dans le cloud. Mettez en place les mécanismes de gouvernance et de modération adéquats pour tous les contenus soumis par les utilisateurs et hébergés dans des environnements cloud dont vous êtes le seul et unique responsable.
Cela inclut tous les environnements que vous êtes amené à partager avec vos clients, vos partenaires ou vos fournisseurs. Bien qu’utiles, les filtres automatiques ne suffiront pas, surtout si vous hébergez du contenu publié par des consommateurs.
Gartner pense que la modération du contenu généré par l’utilisateur s’inscrit désormais au rang des priorités des dirigeants.
Notre troisième recommandation consiste à avoir une stratégie de sortie du cloud (une « cloud exit ») au cas où. Il s’agit là d’une étape essentielle dans l’évaluation et la gestion des risques liés aux fournisseurs cloud.
Lorsque vous élaborez des plans de sortie du cloud, ayez des scénarios et des calendriers réalistes, qui tiennent compte du préavis dont fait l’objet le non-renouvellement, tel que stipulé dans le contrat.
S’il s’agit de SaaS, le délai peut être de 30 jours seulement. En cas d’offres plus contractuelles liées à une infrastructure à la demande (IaaS) ou à une plateforme à la demande (PaaS), ce délai peut monter jusqu’à un an ou deux ans.
Les fournisseurs IaaS – comme AWS, Microsoft Azure et Google Cloud Platform – travaillent sur des solutions avec les clients qui ont souscrit un accord d’entreprise en considérant qu’ils sont de bonne foi. Les CSP estiment en effet généralement que les violations d’AUP ne sont pas intentionnelles.
Lorsque le CSP est contraint de prendre des mesures coercitives, par exemple parce que le client met en danger le bon fonctionnement de la plateforme, il est probable que le fournisseur agisse de manière ciblée – par exemple en suspendant ou en mettant en quarantaine des instances spécifiques du client plutôt qu’en suspendant tous les services du client.
Il n’en reste pas moins que bien que faible pour les entreprises légitimes, ce risque ne doit pas être ignoré. Mieux vaut prévenir que guérir – et donc faire preuve de « due diligence » – pour éviter d’être privé de sa plateforme cloud.