Tribune : Megaupload ou les nouveaux dangers du Cloud Computing

L’affaire Megaupload n’est pas seulement le point d’orgue d’une industrie face à ses dérives, elle est aussi le révélateur de nouveaux dangers qui menacent l’informatique hébergée…

La légitimité de l’action menée par une industrie qui dit représenter les tenants des droits d’auteur, que nous requalifieront plutôt de droits de l’éditeur, contre les pratiques laxistes d’un hébergeur de données qui privilégiait les recettes publicitaires à la légalité de son contenu, n’est pas à remettre en cause. En revanche, la forme de l’action menée contre Megaupload par les autorités américaines soulève aujourd’hui de nouveaux questionnements et devrait interpeller toutes les DSI qui se laissent séduire par les attraits du Cloud Computing.

Rappelons tout d’abord certains faits : le cloud est une approche de l’informatique qui consiste à disposer de services déportés, s’appuyant sur une infrastructure accessible via le réseau des réseaux. L’infrastructure elle-même est généralement maitrisée, tout comme la connexion des postes de travail, même si la mobilité appelle à de nouveaux usages sécuritaires. L’adaptation des applicatifs aux technologies d’échange et de partage se fait sans heurts. Mieux encore, la centralisation et l’administration des moyens déployés augmente sensiblement le niveau de sécurité auquel accède l’entreprise. Du coté de la technologie, tout va bien…

Immatériel juridico géopolitique

Mais qu’en est-il des aspects immatériels associés au Cloud Computing ? Les éditeurs, plus que leurs clients, ont été les premiers à s’en préoccuper. L’entreprise attend de ses prestataires que ses données soient sécurisées et demeurent accessibles. Naturellement, c’est vers le troisième larron que l’on va se retourner, l’hébergeur. Les éditeurs, donc, sont entrés dans une phase délicate pour assurer la qualité de service attendue par leurs clients : la contractualisation. Verrouiller le lien juridique qui lie l’éditeur et l’entreprise à l’hébergeur est un acte majeur destiné à protéger les uns et rassurer les autres, quand ce ne sont pas les mêmes.

Mais la contractualisation est une chose complexe. Les métiers, donc les priorités de chacun diffèrent. Plus encore, la dématérialisation de l’information et de son traitement crée de nouvelles problématiques. La dispersion géographique de l’infrastructure, par exemple, vient se heurter de front à l’arsenal juridique des nations. La donnée peut être hébergée dans des contrées dont l’environnement juridique peut être soit contraignant, soit au contraire inexistant – et l’on peut se demander ce qui est le mieux ? -, en tout cas différent de celui que maitrise le client. Et à cette diversité vient s’ajouter l’arsenal répressif dont disposent les pouvoir en place…

Quand le judiciaire prend la main sur le nuage

L’affaire Megaupload est ici exemplaire d’un danger que nous avions peu mesuré jusqu’à présent mais qui risque de fortement peser sur la stratégie des entreprises pour se déployer dans le nuage ! Un obscure juge de Virginie, entendant la (com)plainte d’une industrie, et s’appuyant sur le pouvoir politique discrétionnaire d’un pays prétentieux au point de donner des leçons au monde, a pu d’un simple jugement faire tomber un service mondial certes condamnable, mais dont une partie de l’activité était tout à fait légale, et qui surtout pour la grande majorité de son activité ne relevait pas du pouvoir judiciaire qui l’a condamné !

De cette expérience, les entreprises qui s’abonnent à un service cloud doivent désormais intégrer dans leur démarche deux nouveaux dangers qui guettent leur stratégie : le judiciaire et le géopolitique. Le risque judiciaire n’est certes pas nouveau, mais il était jusqu’ici géographiquement circonscrit. Megaupload démontre qu’un pouvoir judiciaire très éloigné, pour une affaire sans lien avec l’entreprise, peut simplement faire tomber une infrastructure qui peut être vitale. Le résultat peut se révéler pour le moins vicieux, la condamnation de Megaupload aux Etats-Unis n’a pas touché l’infrastructure du service en place, le FBI s’est contenté de faire disparaître les portes d’accès ! Les pages du service ne sont plus accessibles…