Choisir son prestataire de cloud computing

Qui dit cloud computing évoque l’idée de nuage… et de nébuleuse ! Alors avant de foncer tête baissée dans le cloud computing, mieux vaut poser les bonnes questions à son fournisseur de services. Réponses de Jérôme Benbihi, Directeur d’Adenis. Lire la suite

Quelle est la première question à poser à son fournisseur de cloud computing ?

Jérôme Benbihi : Le cloud computing “flotte“ aujourd’hui dans un flou juridique. C’est là son problème majeur ! Au delà du concept marketing qui englobe tout et son contraire, le cloud computing présente une réelle avancée technologique qui demande quelques précautions d’utilisation, en particulier lorsqu’en tant qu’entreprise, on décide de lui confier ses données.

Par conséquent, les premières questions à poser sont d’ordre juridique afin de s’assurer de la “fiabilité“ du contrat. Elles seront :

  • Qu’est-ce que je signe ? Quels sont mes engagements, et quels sont ceux de la société de service ?
  • Comment seront traitées mes données ?
  •  Quel est le niveau de confidentialité apporté par votre service ?

Qu’en est-il de la réversibilité des données ?

Jérôme Benbihi : Ce point est fondamental et fait partie des questions primordiales à poser à son fournisseur. Dès qu’on fait appel au cloud computing, on perd l’attachement à ses données : elles ne sont plus sur son serveur ou son poste utilisateur. Dans son contrat, le fournisseur doit s’engager à rendre toutes les données de l’entreprise dans le cas où elle décide de cesser sa collaboration. Les clauses à ce sujet doivent être extrêmement claires et précises.

Quels sont les risques encourus par une société en cas de contrat défaillant ?

Jérôme Benbihi : L’impact peut être significatif pour une société comme celui d’une perte de chiffre d’affaires de quelques jours due à l’impossibilité à se connecter et à obtenir ses données. J’en profite pour citer le troisième point clé, celle des assurances contractées par le prestataire de cloud computing. Si aucune clause n’est indiquée en cas de défaillance de son data center et d’indemnisation quant à la perte du chiffre d’affaires occasionné, il faut mieux changer de fournisseur ! Aucun prestataire n’est totalement à l’abri d’une coupure d’électricité qui bloque ses serveurs. Comment, dans ce cas, va-t-il indemniser ses clients de leur perte de CA ?

Qu’en est-il des aspects technologiques ?

Jérôme Benbihi : Là encore, l’offre des prestataires peut paraître nébuleuse. L’essentiel est que votre fournisseur possède une infrastructure redondée, i.e. qu’il dispose d’une back-up (sauvegarde) de ses données sur un autre serveur. C’est le minimum vital. D’autres points sont à regarder comme :

  • la clause de SLA (service level agreement) dont dispose le fournisseur, en décodé, quel est son niveau d’engagement et de services ? En moyenne, les fournisseurs de Cloud computing garantissent 99,9 % de disponibilité (connectivité à leurs serveurs) soit 8 heures d’indisponibilité par an. Mais que se passe-t-il en cas de perte de connectivité ? Quelles sont les pénalités prévues en cas de panne ? etc.
  • la localisation des serveurs avec une préférence pour la France. C’est toujours délicat de régler un litige dans un pays dont on ne connaît pas les règles juridiques.

En tant qu’entreprise, est-il prudent de confier toutes ses données ?

Jérôme Benbihi : Si les conditions juridiques et technologiques décrites ci-dessus sont respectées, cela est totalement possible. Bien évidemment, cette décision dépend des besoins de l’entreprise et des risques liés à son activité. Ces deux points sont à analyser avec sa DSI et son auditeur interne. Le premier pourra proposer un système complémentaire de sauvegarde des données stratégiques et confidentielles. Le second pourra identifier les principaux risques de l’entreprise et délimiter le périmètre des informations et applications à externaliser.

Les risques du Cloud Computing vus par l’agence européenne de la sécurité

 

L’agence européenne de la sécurité relève 35 risques dans son rapport.

« L’analyse de rentabilisation pour le cloud computing est évident, dit Giles Hogben, un expert de l’ENISA et éditeur du rapport, c’est l’informatique au robinet, disponible instantanément, sans engagement et sur la demande. Mais le problème numéro un, c’est la sécurité : comment puis-je savoir s’il est sûr de faire confiance au fournisseur de nuages ​​avec mes données et dans certains cas, mon infrastructure et l’ensemble des activités. »?

Détaillons les principaux risques :
  • La perte de gouvernance ou la dépendance vis-à-vis de l’infrastructure en nuage. Les entreprises n’ont plus le contrôle total de la gestion des données, de leur implantation et des différentes applications en ligne.
  • La sécurité générale du réseau de l’entreprise et de ses données : avec le cloud computing, l’entreprise doit connecter l’ensemble de ses postes à Internet (directement ou non) et ainsi exposer des données de haute confidentialité à des attaques ou des violations de confidentialité.
  • Les questions juridiques posées notamment par la propriété d’abstraction sur la localisation des données du Cloud Computing
  • Les questions d’assurance
  • Le client d’un service de cloud computing devient dépendant de la qualité du réseau pour accéder à ce service. Aucun fournisseur de service cloud ne peut garantir une disponibilité de 100 %.

 

En savoir plus

~ Stéphane Maruani

2 réflexions au sujet de « Choisir son prestataire de cloud computing »

  1. Je vous invite à utiliser Copy.com

    Copy est un nouveau service de cloud qui offre 15 Gb gratuitement, vous pouvez l’utiliser pour stocker des fichiers synchroniser et partager.

    Inscrivez-vous pour copy.com en utilisant ce lien de parrainage https://copy.com?r=nIBMEQ et tous les deux, vous et moi gagnerez un supplément de 5 Gb de stockage gratuit !

  2. Even without the plbiuc cloud we are already seeing examples of patients data being shared across different health care providers. In many if not most cases this is exactly what you want to have happen but patients aren’t yet aware that if one provider buys their EHR from another local hospital system that their entire medical record has just been shared with all of the providers (who have a need to know) in the system. An example in Seattle recently involved a young woman who went outside of her insurance plan and paid out of pocket for a confidential GYN procedure at a small community clinic. When she returned to her primary care provider she was asked about what she thought had been a confidential surgery. The community clinic however was part of Swedish medical center which sold their EHR to the Polyclinic so the records were shared. Was their informed consent? Perhaps but clearly the patient wasn’t aware that this would happen and felt vulnerable.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>