Interrogations sur le Cloud Computing

La percée - surtout médiatique - du Cloud Computing suscite bien des questions et en particulier au sein de la communauté des responsables sécurité en informatique car la vraie question est de savoir comment les prestataires sont capables de garantir les protections minimales qu’il faut déployer, et, en corollaire, quels sont les recours possibles à faire valoir en cas de soucis.

La percée - surtout médiatique - du Cloud Computing suscite bien des questions et en particulier au sein de la communauté des responsables sécurité en informatique car la vraie question est de savoir comment les prestataires sont capables de garantir les protections minimales qu’il faut déployer, et, en corollaire, quels sont les recours possibles à faire valoir en cas de soucis. Avant de condamner le Cloud Computing, il faut être juste : la réalité de ce nouveau type de structure des systèmes d'information ne peut se nier et son développement est plus que réel, il est exponentiel.

En outre, certains observateurs des marchés de services se montrent très dubitatifs, car rien ne prouve en effet que le Cloud soit réellement le fruit d'une demande des clients !

En substance, le marché doit prospérer parce que de substantiels investissements ont été consentis par les porteurs de cette offre qui, dès lors, pour les amortir et gagner de l’argent, structurent, à dessein, de nouvelles approches du traitement de l’information et son hébergement.

Et tous les moyens pour y parvenir sont bons : popularisation de cette technologie par un buzz savamment entretenu, édition de livres blancs, justifications économiques un peu bancales mais ô combien séduisantes, ... Rien n’est laissé de côté.

Et pourtant, le Cloud Computing ne recouvre quasiment aucune réalité ! Car ce marché – que d’aucuns tentent de créer- ce avant tout sous la pression de fournisseurs très importants comme Google et Amazon, tous deux soucieux évidemment d'amortir sur d'autres leurs gigantesques capacités informatiques ne pèse que peu dans les budgets des DSI et même les projections les plus optimistes ne voient pas décoller ces solutions puisque les projections, en 2012, portent la part de marché au-dessous des 9% !

Le seul argument qui peut, le cas échéant, être entendu, concerne la croissance du segment de marché qui – c’est vrai - augmente plus vite que d’autres. Pour les « grands » donc, il faut y aller et c’est sans doute la seule raison pour laquelle Microsoft ou IBM proposent leurs propres solutions.



Parallèlement, parmi les secteurs couverts par le Cloud Computing, c'est la sécurité qui semble tirer cet embryon de marché. Car les utilisateurs peuvent externaliser sous le label Cloud Computing des fonctions à très faible valeur ajoutée comme les appliances de sécurité, ou, en revanche, les administrations et entreprises préfèrent alors s'en remettre à un expert mais pour des missions très complexes incluant audits, tests, veille, etc.

N'inversons donc pas les rôles : le Cloud Computing suscite d'abord l'appétit des fournisseurs avant les besoins des clients ! Il n’y a donc pas lieu de s’affoler et si, un jour, il faut suivre le vent de l'histoire, il vaudra mieux que cela se fasse de manière ordonnée.



Sur le plan juridique, les avocats spécialisés dans le droit de l'informatique soulignent volontiers les similitudes qui existent entre les problématiques soulevées par le Cloud Computing et celles de l'outsourcing. Car les risques sont très similaires : continuité de services, capacité de récupérer et de consolider les données, … autant de points cruciaux qui sont le patrimoine de l'entreprise ou des administrations et collectivités locales.

En résumé, la quasi-totalité des problèmes légaux posés par le Cloud Computing résident essentiellement dans l'éloignement des serveurs car les prestataires sont alors assujettis aux lois de la République où sont hébergés systèmes et données, à l'étranger, autant de freins à faire appliquer note droit national et/ou européen comme celui de s'assurer du respect de la loi Informatique et Liberté.

Pour autant, des solutions contractuelles restent envisageables à condition que les contrats puissent être assortis de clauses de traçabilité. Et d’ailleurs, certains prestataires, comme Google, affirment que leurs clients peuvent tout à fait exiger que les solutions soient hébergées sur le sol français. Mais tous les datacenters ne peuvent en dire autant ce qui nous permet de conclure que quelque soient les clauses contractuelles, celles-ci n'exonèrent en rien l'entreprise de ses responsabilités. Y compris pénales ...