Actu
La responsabilité partagée, le modèle par défaut du cloud qui fait grimper les factures et les risques
décembre 2022 par Jean-Pierre Boushira, Vice President South EMEA, Benelux & Nordics de Veritas
Les secteurs qui semblaient traditionnellement irréductibles – par exemple les institutions financières – migrent désormais, eux aussi, leurs données vers le cloud. A minima, les entreprises explorent la valeur et les avantages concurrentiels indéniables qu’il peut apporter. Toutefois, dans leur parcours vers le cloud, beaucoup d’entre elles sous-estiment l’importance de la notion de responsabilité partagée, le modèle contractuel par défaut des fournisseurs.
La responsabilité partagée, mal comprise par les entreprises
Même en les confiant à un tiers, les entreprises restent responsables de leurs données, le plus souvent à un degré bien supérieur à ce qu’elles imaginent. En premier lieu, certaines réglementations interdisent tout simplement aux entreprises de se défausser complètement, et de laisser les fournisseurs assumer les responsabilités relatives à certains types de données. C’est le cas par exemple du RGPD, aux yeux duquel une entreprise reste responsable de la sécurité des données liées à la vie privée qu’elle collecte, même si elle n’en est pas matériellement la détentrice.
Ensuite, les contrats standards des fournisseurs de services cloud s’engagent sur certains niveaux de disponibilité et sur le rétablissement d’un service, mais rarement sur la protection des données ou sur leur rétablissement en cas d’incident. Ces responsabilités reviennent généralement à l’entreprise.
La responsabilité, facteur de risque
Négliger l’étendue de la responsabilité des fournisseurs de services cloud lors d’une migration reviendrait pour l’organisation à s’exposer à plusieurs risques.
La plus évidente menace porte sur un affaiblissement de la posture de sécurité de l’entreprise, au point de la rendre vulnérable à des attaques et de limiter sa capacité à se rétablir après un sinistre. Même si le contrat de services prévoit dans ce cas des compensations financières, il est peu probable qu’il couvre les coûts réels et notamment la détérioration de la réputation de ladite entreprise. Dans tous les cas, sauf indication contractuelle contraire, il appartient à l’entreprise de mettre en place les solutions de sauvegarde et de récupération adéquates.
Même en dehors d’un contexte spécifique d’attaque, les mécanismes dédiés au maintien de la conformité dans le cloud sont différents. Pour éviter tout ennui judiciaire et les conséquences qui peuvent y être associées, les entreprises doivent les anticiper et mettre en place les procédures, les outils de contrôle et d’alerte nécessaires propres aux infrastructures clouds ou hybrides.
L’augmentation des coûts engendrée par une sécurité vacillante ou une conformité approximative est susceptible de prendre des proportions dramatiques si l’entreprise n’a pas anticipé les ressources et l’expertise qui lui seront indispensables pour mener ses opérations ou assurer une « correction après déploiement ». Les talents du cloud sont chers et restent rares. Face à une situation d’urgence, les entreprises peuvent se retrouver dans une position de négociation désavantageuse si elles doivent rapidement bénéficier de solutions additionnelles ou de l’intervention d’experts.
La répartition de ces responsabilités doit être clairement et contractuellement définie, et ce bien en amont de tout projet de migration vers le cloud. Les entreprises doivent ensuite mettre en place des solutions humaines et technologiques pour être à même d’assumer leurs parts de responsabilités faute de quoi elles s’exposent à des risques légaux, financiers ou de cybersécurité.
