L’engouement du marché pour le Cloud Computing explique le foisonnement des offres proposées aux entreprises par des sociétés telles que Hewlett-Packard, IBM, Cisco, Amazon et plus récemment Microsoft. Le Cloud semble être devenu, en quelques années, la première préoccupation des DSI. Sous ce vocable, il s’agit en réalité d’une multitude de services, qui vont de l’offre logicielle (SaaS), aux infrastructures techniques (IAS) en passant par les plates-formes de développement (PaaS), et qui sont destinés à répondre aux mêmes besoins, à savoir souplesse et réduction des budgets des DSI.

Les politiques contractuelles des fournisseurs et prestataires et le faible niveau d’engagement associé ne sont cependant pas exempts de critiques. Ainsi quatre principaux risques ont été identifiés par le Gartner, pour lesquelles il a décidé d’émettre une alerte (1). Lors des Etats Généraux du Cloud Computing, en mars 2011, EuroCloud France a formé 17 recommandations, dont la création d’un label sécurité à l’échelle européenne (2).

Même s’il s’agit souvent de contrats standards, il est indispensable d’en vérifier les clauses, afin de déterminer les engagements offerts, qu’il s’agisse de SLA, de conformité à la réglementation Informatique et libertés ou de responsabilité. Les thématiques relatives à la sécurité et à la confidentialité sont celles qui suscitent le plus de réserves. Elles peuvent être déclinées autour des principales clauses suivantes :

  • localisation : Si la situation géographique répond à une préoccupation opérationnelle parfaitement légitime, elle constitue aussi une exigence légale forte en matière d’hébergement de données à caractère personnel. Le stockage de données à l’extérieur de la zone européenne expose en effet l’entreprise, en sa qualité de responsable, à de très sérieuses sanctions de la part de la Cnil à défaut de la mise en œuvre de garde-fous (3) ;
  • sécurité : Souvent à peine évoquées, les mesures de sécurité doivent être précisées (protection contre l’altération des données et les accès non autorisés, gestion des sauvegardes, procédure de reprise en cas d’incident…). Là encore, la responsabilité de l’entreprise est en jeu ;
  • interopérabilité : Il convient aussi d’évoquer la problématique de la récupération de toutes ces données ou ces développements dans le cas du recours à une plate-forme PaaS. Le contrat devra en garantir les moyens (API, SaaS ou spécifications CDMI – Cloud Data Management Interface) permettant d’assurer la migration des données d’un cloud vers un autre ;
  • responsabilité et assurance : En cas de défaillance, ce sont les clauses du contrat relatives à la responsabilité du prestataire et à l’existence d’une éventuelle assurance de responsabilité professionnelle qui auront à s’appliquer. Il convient, là encore, de les examiner avec un soin tout particulier.
  • Pour le Gartner, les DSI doivent, en 2011, rester très vigilants sur les contrats de service Cloud.

    (1) ZDNet, article du 15 mars 2011

    (2) EuroCloud France, communiqué du 15 mars 2011

    (3) Décision 2010/87/UE du 5 février 2010