Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Sécurité Cloud Computing Part 1 : Aspects Contractuels

Nous sommes en 2013, et le Cloud Computing est toujours là. Ni la fin du monde, ni ses nombreux détracteurs n’auront eu sa peau. Ses premières années ont été accompagnés de débats houleux et acharnés autour de son concept, certains parlant de révolution, d’autre de simple évolution de l’hébergement externalisé, remettant en cause l’utilité d’une telle prise de risque dans la perte de gouvernance.

Les clients eux, n’ont pas l’air de se poser autant de questions, les PME comme les grands groupes s’arrachant les services de quelques géants (Amazon, Microsoft, IBM) pour des besoins allant de la VM d’appoint pour la sauvegarde, à l’infrastructure complète externalisée en Cloud Privé.

Les revenus générés par les différents acteurs du Cloud le montrent : De 4 milliards de dollars en 2010, les sociétés européennes devraient dépenser le double en 2013, et presque 14 à l’horizon 2016. Et nous, petits français, ne sommes pas en reste ; en 2012 nous représentions 1/4 du marché européens dans ce secteur en termes de dépense (sources PAC).

Réduction des coûts, simplification de gestion, flexibilité et rapidité de mise en œuvre sont autant d’arguments commerciaux précipitant les décideurs à opter pour l’Infonuagique (promis, ce mot existe). Décisions, malheureusement le plus souvent dépourvues de réflexions orientées sécurités.

Parlons-en ; à mon sens , le Cloud Computing n’apporte pas pléthores de problématiques sécurités du point de vue technique par rapport à un hébergement externalisé classique. La nouveauté viendra de la notion de cloisonnements inter-clients dans un Cloud Public. Cela pourrait faire l’objet, pourquoi pas, d’un prochain article. Pour le moment, penchons-nous sur l’aspect juridique, et plus particulièrement contractuel qui par la perte de contrôle due au concept du Cloud, prend une dimension toute particulière.

Contractus Nimbostratus…

 

Le premier véritable danger du Cloud Computing c’est le contrat qui est associé à son service. On le divisera en deux grandes catégories : le contrat d’adhésion et par opposition le contrat négocié (ou contrat gré à gré).

Comme son nom l’indique, le contrat d’adhésion, on l’aime ou on la quitte. Plus sérieusement, ce contrat, type « case à cocher », ne laisse au client aucune possibilité d’ajustement, d’ajout ou de suppressions de clauses incluses au contrat. Contrat qui se résume à une page classique de CGU suivie d’une case à cocher. Et au final, qui lit vraiment ces fameuses CGU ?

Cloud Computing

L’exemple le plus connu : Amazon

Ce type de contrat laisse donc aucune marge de négociation aux clients et conviendra mieux, si cela est possible, aux services d’appoints peu sensibles.

A contrario, le contrat négocié, laissera le loisir aux clients et fournisseurs de s’affronter dans des joutes interminables, mais néanmoins nécessaires à la formation d’un contrat remplissant des garanties de sécurités suffisantes en adéquation avec le besoin client.

Notre expérience nous mène à souligner un certain nombre de clauses à inclure dans ce type de contrat :

  • Clause limitative de responsabilité : Cette clause, primordiale, permettra tout simplement de fixer la répartition des responsabilités quant aux services externalisés dans le Cloud. Cette clause est extrêmement à l’avantage du fournisseur dans les contrats d’adhésions, le client étant alors responsable de tout ou presque.
  • Clause d’auditabilité : Ici, il s’agira de définir sous quelles conditions le client pourra ordonner un audit de la plateforme qui héberge son service. Sans cette clause incluse au contrat, l’audit pourrait n’avoir comme périmètre que le contrat lui-même.
  • Clause de confidentialité et non divulgation : Plus classique, cette clause engage le fournisseur sur ses actions par rapport aux données, mais se porte également garante de ses employés et sous-traitants. Il ne doit donc pas vendre les données, ni les réutiliser dans le cadre d’une autre activité, publicitaire par exemple.
  • Clause de réversibilité : Autre clause importante, elle précise le plan de réversibilité, son déroulement, mais également ses éléments déclencheurs. C’est dans cette clause qu’est précisée la suppression des données en cas de réversibilité, élément impossible à vérifier dans les faits.

D’autres éléments seront à voir :

  • La convention de niveau de service : Cette convention permet au client d’obtenir du prestataire une qualité de service convenue contractuellement. Il y a aura également des indicateurs sous forme de malus ou de pénalités en cas de non-respect des engagements. Ces niveaux de services peuvent être exprimés en heures et en pourcentages. La plupart du temps, ils concernent la disponibilité et la performance d’accès aux services.
  • La localisation des données : (Objet de la partie 2 de cet article) La restriction de la répartition des données à un territoire défini, dans un cadre légal spécifique, est vivement recommandée, quand cela est possible.
  • Le chiffrage de la valeur des données : Les avocats spécialisés conseillent grandement cette étape, qui permettra en cas de préjudice, de connaitre exactement la somme que le client peut réclamer en dédommagement.

Tous ces éléments indispensables à tout contrat portant sur une offre Cloud Computing tendent à compenser la très importante perte de contrôle du SI. Pourtant cela pourrait bien être peine perdue vu l’opacité totale dont font preuve les fournisseurs, dans leur traitement des données, sous couvert de préserver la confidentialité de ses clients.

CONIX

Nous sommes en 2013, et le Cloud Computing est toujours là. Ni la fin du monde, ni ses nombreux détracteurs n’auront eu sa peau. Ses premières années ont été accompagnés de débats houleux et acharnés autour de son concept, certains parlant de révolution, d’autre de simple évolution de l’hébergement externalisé, remettant en cause l’utilité d’une telle prise de risque dans la perte de gouvernance. Les clients eux, n’ont pas l’air de se poser autant de questions, les PME comme les grands groupes s’arrachant les services de quelques géants (Amazon, Microsoft, IBM) pour des besoins allant de la VM d’appoint pour la sauvegarde, à l’infrastructure complète externalisée en Cloud Privé.

Les revenus générés par les différents acteurs du Cloud le montrent : De 4 milliards de dollars en 2010, les sociétés européennes devraient dépenser le double en 2013, et presque 14 à l’horizon 2016. Et nous, petits français, ne sommes pas en reste ; en 2012 nous représentions 1/4 du marché européens dans ce secteur en termes de dépense (sources PAC).

Réduction des coûts, simplification de gestion, flexibilité et rapidité de mise en œuvre sont autant d’arguments commerciaux précipitant les décideurs à opter pour l’Infonuagique (promis, ce mot existe). Décisions, malheureusement le plus souvent dépourvues de réflexions orientées sécurités.

Parlons-en ; à mon sens , le Cloud Computing n’apporte pas pléthores de problématiques sécurités du point de vue technique par rapport à un hébergement externalisé classique. La nouveauté viendra de la notion de cloisonnements inter-clients dans un Cloud Public. Cela pourrait faire l’objet, pourquoi pas, d’un prochain article. Pour le moment, penchons-nous sur l’aspect juridique, et plus particulièrement contractuel qui par la perte de contrôle due au concept du Cloud, prend une dimension toute particulière.

Contractus Nimbostratus…

Le premier véritable danger du Cloud Computing c’est le contrat qui est associé à son service. On le divisera en deux grandes catégories : le contrat d’adhésion et par opposition le contrat négocié (ou contrat gré à gré).

Comme son nom l’indique, le contrat d’adhésion, on l’aime ou on la quitte. Plus sérieusement, ce contrat, type « case à cocher », ne laisse au client aucune possibilité d’ajustement, d’ajout ou de suppressions de clauses incluses au contrat. Contrat qui se résume à une page classique de CGU suivie d’une case à cocher. Et au final, qui lit vraiment ces fameuses CGU ?

L’exemple le plus connu est bien évidemment la page d’adhésion au contrat Amazon :


[FI1]C’est vrai que c’était légèrement daté. Le refresh te conviens ?

[FI2]C’est mieux ?

Je suis d’accord moi aussi, mais je pense que ce n’est pas l’avis de tous. Autant exprimer que c’est l’avis de l’auteur !!

By | 2017-08-07T11:10:06+00:00 07/01/2013|Gouvernance, Veille|