Des DSI s'interrogent sur les risques du 'cloud computing'

Olivier Robillart,

Réunis par le Cercle, DSI et spécialistes de la sécurité ont posé le débat : quels sont les avantages, pour quels risques, des services hébergés ?

A l’heure où les grands comptes s’interrogent sur le concept «  on the Cloud « , un débat autour de ses avantages et inconvénients en termes de sécurité est bienvenu. Le Cercle européen de la sécurité et des systèmes d’information a organisé une rencontre sur ce thème, sans oublier les aspects juridiques.

Eric Domage, responsable Etudes et conseil en sécurité chez IDC France a évoqué la donne économique et la tendance:

« La part du Cloud ne tenait que pour 4% des dépenses IT en 2008 et on ne prévoit que 9 % pour 2012. On note aussi que les activités ont fortement diminué en ce début d’année« .A l’appui du rapport IDC d’octobre 2008, l’expert ironise: « Il faut faire attention aux effets de mode. Le cloud computing pourrait être comme le Titanic, on en a besoin jusqu’à ce que l’on en ait plus besoin…« . En clair, les services hébergés peuvent tirer parti de l’externalisation des tâches à faible valeur ajoutée telles que la « gestion de logs ou des vulnérabilités« . Autre constat: « Le ‘cloud computing’ jouit d’une offre forte car il y a un gros appétit des fournisseurs en termes de croissance« . Un certain effet de mode…

Dès lors, bien que certains professionnels reconnaissent que les services hébergés en nuage offrent des opportunités pour diminuer les coûts, la question de la traçabilité des informations et des rapports avec un service certes « dans un nuage » mais bien présent physiquement dans un Etat.

Christiane Féral-Schuhl, avocate spécialiste du droit des technologies de l’information s’empare du débat et évoque les risques d’interruption voire de dégradation des services. « Il faut anticiper la fin du contrat. Si le serviceon the clouds’avère un jour moins viable, il convient de se demander comment les données seront rendues. De même, les informations devront être traitées par les sociétés qui s’en occuperont nouvellement. Vont-elles respecter les conditions de la Cnil ? Respecter le droit à l’oubli par exemple ?« .

Un sujet qui fait écho à la question de la délocalisation des serveurs et à la réglementation applicable dans des Etats aux règles moins strictes. « L’Inde par exemple est un pays où les professionnels ont très peu de garantie.Hors de l’Union européenne, il faut établir des règles strictes« .Car si en cas de litige c’est la loi de la juridiction qu’auront choisie les deux sociétés qui s’applique. A défaut d’un telle clause, c’est en général la loi du pays où résident les serveurs (la loi d’exécution du contrat). qui s’applique. Christiane Féral-Schuhl conclut : « il est nécessaire, à l’avenir, d’établir un formalisme juridique« .

Pour résumer : oui, peut-être ou sans doute, mais de la patience, des précautions à prendre et des règles à établir…