Le cloud en un coup de baguette magique ? Pas si simple. Lors de l’événement Culture Cloud 2011, qui se tenait jeudi 7 juillet à Paris, IBM est revenu sur la base d’un projet de cloud computing, à savoir la définition du contrat de service.
« Le cloud a un côté magique mais il demande travail et dextérité », tempère Jean-Baptiste Dezard, Responsable marketing des offres logicielles et sectorielles pour IBM France.
Self-service, partage de ressources, accessibilité via internet, élasticité et facturation à la demande sont les cinq caractéristiques du cloud computing, tel que défini par le NIST (National Institute of Standards and Technology). Si l’innovation technologique est moindre, l’impact est potentiellement énorme. « Le cloud fait rêver, poursuit Philippe Verien, Directeur du cloud chez IBM France. « Il concrétise un rêve d’informations disponibles sans se poser la question de l’investissement à réaliser ou du système à mettre en place. Il faut néanmoins des compétences pour le mettre en œuvre ».
Les services ne vont effectivement pas arriver tout seuls et les directions métiers auront en effet besoin des DSI pour leur fournir les applications et ressources désirées. « La direction informatique ne peut pas s’effacer », affirme Véronique Sahagian, spécialiste contrats et négociations au département Légal d’IBM. « Son rôle va changer pour s’orienter davantage vers du contrôle, mais ce rôle est primordial », explique-t-elle, avec en toile de fond les problèmes de sécurité posés par l’informatique en nuage. « Un contrat de service cloud computing ne fait pas l’objet d’un régime juridique ou légal spécifique », rappelle Maître Olivier de Courcel, avocat aux Barreaux de Paris et de New-York spécialisé dans le domaine des technologies. Les obligations du prestataire reposeront sur le contrat passé avec le client. Attention donc à ne pas faire l’impasse sur l’analyse des risques avant la signature et de procéder à la définition d’un cahier des charges basé sur cette analyse.
« Ne pas se contenter de laisser les données flotter dans le nuage »
Données bancaires, de santé ou à caractère personnel, l’avocat souligne l’importance d’identifier la nature des données que l’on souhaite envoyer dans le cloud (la sécurité des données dans le cloud computing est un sujet récurrent) afin de s’assurer d’être en conformité avec la loi informatique et liberté du 6 janvier 1978. Si les données doivent partir à l’étranger, la CNIL devra donner son autorisation, conditionnée à des engagements de sécurité et de confidentialité de la part du prestataire.
La transparence est en outre essentielle sur la géolocalisation des données. « On ne peut pas se contenter de dire que les données sont dans un nuage et les laisser flotter », indique Véronique Sahagian. Selon la juriste, il existe quatre questions à se poser avant toute signature d’un contrat : nature des données, transfert de ces données (entre entreprises, entre pays, entre continents,…), choix des applications qui vont être externalisées, choix du cloud (public, privé, hybride).
Dernier point sur lequel il faudra être vigilant : la qualité de service. « Les offres standard ne contiennent pas souvent d’engagement à ce niveau », regrette Olivier de Courcel. « Le prestataire ne garantit pas le fonctionnement continu du service ». Selon la criticité des données, les entreprises devront négocier fermement sur ce point.
Plus d’informations : IBM
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
