Cet atelier, qui s’est tenu lors du dernier salon des Etats Généraux du Cloud, a été animé par Olivier Iteanu, avocat et Secrétaire Général d’EuroCloud France ; il a permis de mettre en avant l’importance de critère de la confiance, aussi crucial pour les clients, que les fournisseurs et les juristes, pour ce qui est du développement du cloud computing.
Les intervenants de cette table ronde étaient :
- Sylvain Quief, Opérations Centrales Cloud Computing Orange Business
- Jean-François Bauvin, Chambre Nationale des Huissiers de Justice
- Nathalie Schlang, Directeur Business Unit Certeurope d’Oodrive
- Stéphane Duproz, DG de TelecityGroup
- Sylvain Leterrier, Advisory Services Director, KPMG
- Jan Gabriel, Directeur Alliance & Marketing, ITS Intégra et représentant du Syntec Numérique
[légende de la photo ci-dessous, de gauche à droite, Maître Iteanu, Jean-François Bauvin, Stéphane Duproz et Sylvain Leterrier]
le juridique à la pointe
Sylvain Leterrier de KPMG a poursuivi ce tour d’introduction en confirmant que la confiance est bien un ingrédient indispensable de l’informatique aujourd’hui. « KPMG est un cabinet mais n'est ni concepteur ni distributeur de solutions cloud et il agit en tant que tiers de confiance », et c’est en cela qu’il s'intéresse au cloud depuis près de 3 ans. La confiance, on le voit, est plus qu’un mot jeté en l’air, c’est aussi un business, fait de certifications, d’apports de garanties et de prestataires de conseil en tierce certification.
le point de vue des prestataires
Jan Gabriel de ITS intégra est, quant à lui prestataire, « mais il se considère non comme un tiers mais un ‘acteur de confiance’ » une légère variation dans le vocabulaire, mais importante, car les briques « qu’ [ils] assemblent répondent à des standards » a-t-il précisé. Stéphane Ducroz de Telecity Group a défendu un position assez proche. « Nous sommes prestataires de confiance par défaut car quand un client vient confier ses données sur nos data centers cherche forcément de la confiance » a-t-il argumenté. Mais il a précisé que « la confiance est le début de la paresse, et qu’il faut passer son temps à améliorer ses infrastructures et il faut certifier son organisation mais ce n'est pas suffisant : c'est le terrain qui prouve qu'à cette confiance est méritée » a-t-il dt en ponctuant son intervention de départ. En Grande Bretagne, on dirait aisément que « the proof is in the pudding ! ».
Sylvain Quief représente l’entité cloud computing d'Orange Business. Pour lui, il ne pense pas que le cloud est une technologie, « mais que c'est un nouveau business model ». II est aussi d'accord sur le fait que « la confiance est la nécessité de prouver la confiance sur le terrain, et qu’il faut accompagner le parcours de ses clients ; « c’est ce qu'Orange a fait en accompagnant les reprises d'activité de ses clients et les siennes aussi » a-t-il précisé.
la confidentialité des informations comme point de départ
Nathalie Schlang a tenu à apporter une précision de taille : « Quelle est la confidentialité des informations que je souhaite diffuser ? telle est la question de départ, mais aussi la nécessité de dater et certifier ses données avec un parallèle qui peut être fait avec le monde papier » a-t-elle dit. Pour les banques par exemple, il y a de plus en plus de modèles de calculettes (comme le système Pinsentry, pionnier du sujet chez Barclays au Royaume Uni et en Europe) pour s’identifier sur son compte bancaire, et « il existe aussi des systèmes très sophistiqués pour les entreprises qui permet aux échanges B2B de s'établir de façon sécurisée et certifiée sur Internet. Il s'agit de vérifier que le document n'a pas été modifié et qu'il a été signé par la bonne personne en hiérarchisant ses types de documents. En dematérialisant les documents on peut réaliser beaucoup d'économies et c'est pour cela qu'aujourd'hui les contacts que nous recevons ne sont plus seulement des contacts de DSI mais aussi des contacts en provenance du marketing et des ventes » a-t-elle poursuivi. C’est cet élément de criticité des données qui détermine aussi, on l’oublie trop souvent, le degré de sécurité qui est requis.
3 niveaux de confiance
Le représentant de KPMG, Monsieur Leterrier a précisé que « la confiance se joue dans les deux sens ! ». En effet, Le prestataire doit s'appuyer sur les normes ISO 27001-2-3, et il doit promouvoir la transparence ainsi que faire appel à des tiers de confiance. « Il y a donc 3 niveaux de confiance » a-t-il précisé, et de les énumérer :
- le premier se situe au niveau de la DSI de façon un peu évidente ;
- La deuxième, se place sur le plan de la partie processus avec « l'aspect transformateur du cloud qui a un impact considérable sur le contrôle interne. Il faut donc s'adapter à un environnement ouvert ce qui est un enjeu » a ajouté M. Leterrier, en rappelant que Sarbanes Oxley engage personnellement le CEO de l’entreprise, donc on ne peut passer outre et cet élément de sécurisation est primordial ;
- Enfin, « le cloud hybride imprime une nouvelle gouvernance, de nouvelles fonctions, avec des personnes en charge et garantes du bon fonctionnement du cloud computing ».
la confiance et le verrouillage des niveaux de services (SLA)
Stéphane Duproz a ajouté qu’ « il faut également verrouiller les moyens mis en place par le prestataire pour assurer ses niveaux de service. Il faut donc travailler de façon fournir de meilleurs outils pour les clients et leur permettre de réussir ». Ceux-ci peuvent contenir les outils de certification ISO (cités plus haut par l’interlocuteur précédent) et la transparence (ce qui se traduit concrètement par une « la clause d'audit qui permettra au client de se rendre compte de la capacité a livrer du prestataire ». Jan Gabriel d’ITS Integra a abondé dans le sens de M. Dutroz : « on peut lancer des offres cloud facilement, mais il est plus difficile de donner la confiance ; il y a notamment des prestataires qui ont des ‘démarches de cowboys’ et ce n'est pas bon". Le Syntec, dont M. Gabriel est aussi le représentant, est un lieu d'échange et de travail (livres blancs) dans le domaine du cloud et « c'est très important pour nous ; ce qui en ressort concrètement ce sont des choses qui permettent de servir au client » a-t-il précisé.
la clause de réversiblité
[Légende de la photo ci-dessus : Sylvain Quief d'Orange Business et et Jan Gabriel d'ITS Integra]
la meilleure preuve de confiance : le médecin qui s’administre son propre médicament
« Comment lutter contre les hébergeurs qui ont promis monts et merveille ? » a demandé Stéphane Dutroz, en précisant que son engagement personnel était de « fournir un engagement de disponibilité, mais que chaque acteur (sur chaque couche) [était] responsable de la confiance au niveau de la couche qu'il fournit ». Ceci vient apporter un élément de complexité indéniable dont il faut tenir compte.
Jean François Bauvin a précisé quant à lui que l'enjeu des professions du juridique « c'est qu'il faut adapter la profession aux enjeux technologiques de la dématérialisation. Or, c'est un tout nouvel environnement qui est entièrement conditionné par la technologie, très complexe, qui fera que le sceau de l'huissier délivré de manière électronique, est absolument sûr d'un point de vue sécuritaire et donc juridique ». Un besoin de se rassurer que, selon Sylvain Quief d’Orange Business, l’opérateur réalise au travers d’une démarche simple et démonstrative : « l'utilisation en interne des technologies cloud afin de prouver, par l’application à soi-même de cette technologie, qu’elle est bel et bien digne de confiance ».
Yann Gourvennec
crédit photo : © bröc - Fotolia.com
Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre, je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.