Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Contrats Cloud : la mariée est peut-être moins belle que vous ne le croyez !

décembre 2012 par Camille Cacheux, Directeur de Coreye

Les avantages du Cloud Computing pour le monde professionnel sont connus : il offre aux entreprises une plus grande souplesse et une meilleure agilité pour répondre aux enjeux économiques et métiers d’aujourd’hui, tout en réduisant leurs coûts par rapport à une solution informatique in situ. Rien d’étonnant donc qu’un nombre toujours croissant d’entre elles sautent le pas et fassent appel à un prestataire pour la mise en place d’une solution cloud. La grande majorité des solutions d’infrastructure cloud retenues par les entreprises sont de type cloud privé, car elles leur permettent de garder le contrôle de leurs données stratégiques, en conservant leur propre politique de sécurité et des garanties de service connues. Mais c’est justement sur ce dernier point que les entreprises peuvent s’exposer à des déconvenues. Car entre les promesses des prestataires et la qualité du service rendu en réalité, les différences peuvent être importantes, et lourdes de conséquences.

En réalité, beaucoup de contrats de cloud computing recèlent encore d’importantes lacunes, et les entreprises ont du mal à y décerner quels sont les véritables engagements de leur prestataire à leur égard. Mieux vaut donc pour elles y regarder à deux fois avant de signer !

Dans le cadre d’un contrat de cloud privé, un prestataire doit pouvoir s’engager dans quatre grands domaines : la continuité du service ; la récupération des données en cas de panne, la sécurité et la confidentialité des données, et enfin la traçabilité des accès. Le bon sens voudrait qu’avant toute signature, les engagements dans ces quatre domaines puissent être correctement évalués.

Voici ci-dessous les principaux points à examiner.

Continuité de service : disponibilité à géométrie variable

En matière de disponibilité de l’infrastructure, beaucoup de prestataires limitent leur engagement à une garantie de rétablissement sous 4 heures en cas d’incident, et ne prennent pas en compte un taux de disponibilité global sur une base mensuelle. Une entreprise pourra ainsi être confrontée à plusieurs pannes successives d’une durée de trois heures chacune par exemple, et subir donc un préjudice réel, sans que la disponibilité de son prestataire soit engagée. Mieux vaudra pour elle exiger lors de la signature du contrat un engagement sur un taux de disponibilité global par mois, car dans ce cas le compteur tournera dès la première minute du premier incident.

Concernant la disponibilité des applications, les différences sont également notables d’un partenaire à un autre. Beaucoup limitent leur engagement à la disponibilité de l’OS, sans aller plus loin. Si la disponibilité de ses applications métier est stratégique pour l’entreprise, elle devra exiger dans le contrat des engagements sur un scénario applicatif, application par application.

Récupération des données : des engagements souvent non vérifiables

La plupart des contrats de cloud computing intègrent une garantie de récupération des données en cas de panne matériel via des procédures de sauvegarde périodiques. Mais peu de prestataires s’engagent à tester leurs procédures de sauvegarde à la demande de leurs clients, ou sur un audit régulier de leurs procédures, afin de vérifier leur efficacité et l’intégrité parfaite des données restaurées. L’entreprise devrait pouvoir exiger dans le contrat la possibilité d’une telle vérification.

D’autre part, les contrats cloud intègrent généralement une clause de réversibilité, qui garantit au client une restitution complète de ses données en cas de changement de prestataire par exemple. Cette réversibilité est payante ce qui est logique, mais ce qui l’est moins est que son coût ne soit pas précisé dans le contrat, et laissé à l’appréciation du prestataire. Pour éviter toute mauvaise surprise, cette prestation devrait être prévue et évaluée dès le départ dans le contrat. Or il n’en est rien dans la quasi-totalité des cas.

Sécurité et confidentialité des données : procédures auditées ?

La garantie de la sécurité et de la confidentialité des données fait partie des clauses standard des contrats de cloud computing. Toutefois, deux aspects doivent être particulièrement vérifiés.

D’une part, les engagements sur la localisation précise des données. Pour garantir la pleine responsabilité du prestataire, celui doit pouvoir s’engager par contrat que les données de son client seront toujours stockées sur le territoire français, ou au moins dans un pays de l’Union Européenne. Cette garantie est à vérifier, notamment pour les prestataires anglo-saxons.

D’autre part, les procédures garantissant la sécurité et la confidentialité des données doivent être vérifiables, par exemple via un audit préalable mené par un organisme de certification tel que le LEXI. Ce n’est hélas souvent pas le cas.

Traçabilité des données

La traçabilité des accès aux données chez un prestataire cloud est un aspect souvent négligé dans les contrats. Cette garantie peut pourtant avoir une importance critique notamment dans le cas d’accès frauduleux ou de vols de données.


Voir les articles précédents

    

Voir les articles suivants