Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le cloud computing : une affaire de confiance

Le cloud computing : une affaire de confiance
2013-05-312013-05-31réflexionsfr
Le mot confiance a est synonyme de foi (Fides en latin), "in god we trust" disent les américains sur leurs billets et la îlot récente en France a été la loi sur la confiance en l'économie numérique. Mais qu'en est-il du cloud computing. Cet atelier a permis d'en connaître les principaux enjeux.
Publié le 31 Mai 2013 par Yann Gourvennec dans réflexions
un atelier sur l'enjeu de la confiance aux Etats Généraux du Cloud a démontré l'importance de cet élément de choix
quelques uns des participants avec, à gauche, Sylvain Quief, d'Orange Business Services

Cet atelier, qui s’est tenu lors du dernier salon des Etats Généraux du Cloud, a été animé par Olivier Iteanu, avocat et Secrétaire Général d’EuroCloud France ; il a permis de mettre en avant l’importance de critère de la confiance, aussi crucial pour les clients, que les fournisseurs et les juristes, pour ce qui est du développement du cloud computing.

Les intervenants de cette table ronde étaient :

  • Sylvain Quief, Opérations Centrales Cloud Computing Orange Business
  • Jean-François Bauvin, Chambre Nationale des Huissiers de Justice
  • Nathalie Schlang, Directeur Business Unit Certeurope d’Oodrive
  • Stéphane Duproz, DG de TelecityGroup
  • Sylvain Leterrier, Advisory Services Director, KPMG
  • Jan Gabriel, Directeur Alliance & Marketing, ITS Intégra et représentant du Syntec Numérique

[légende de la photo ci-dessous, de gauche à droite, Maître Iteanu, Jean-François Bauvin, Stéphane Duproz et Sylvain Leterrier]

le juridique à la pointe

le panel présidé par Maître Iteanu JF Bauvin, Vice-Président des huissiers de justice a ouvert le débat. « Pour le juridique », a-t-il dit, « qui a ‘le papier dans le sang’, c'est difficile de trouver la confiance dans le ‘digital, la confiance ne se décrète pas ! ». Et pourtant, la profession juridique n’est pas la dernière à avoir embrassé la révolution digitale. Nathalie Schlang a expliqué pourquoi : «J’ai commencé à travailler avec la loi du 13 mars 2000 sur la confiance en l'économie numérique » a-t-elle dit. Il s’agit d’une loi européenne qui définit comment on devient une autorité de certification électronique. « Les certificats numériques permettent d'authentifier sur le cloud et de signer électroniquement des documents » a-t-elle précisé. Cette identité électronique aura été préalablement délivrée par des autorités. Or, cette manière de « certification et commence à être très utilisée par les avocats et les huissiers de justice. Tous les avocats se connectent aujourd’hui à un outil de certification avec une clé USB et nous organisons la technique et nous sommes audités selon les lois européennes ».

Sylvain Leterrier de KPMG a poursuivi ce tour d’introduction en confirmant que la confiance est bien un ingrédient indispensable de l’informatique aujourd’hui. « KPMG est un cabinet mais n'est ni concepteur ni distributeur de solutions cloud et il agit en tant que tiers de confiance », et c’est en cela qu’il s'intéresse au cloud depuis près de 3 ans. La confiance, on le voit, est plus qu’un mot jeté en l’air, c’est aussi un business, fait de certifications, d’apports de garanties et de prestataires de conseil en tierce certification.

le point de vue des prestataires

Jan Gabriel de ITS intégra est, quant à lui prestataire, « mais il se considère non comme un tiers mais un ‘acteur de confiance’ » une légère variation dans le vocabulaire, mais importante, car les briques « qu’ [ils] assemblent répondent à des standards » a-t-il précisé. Stéphane Ducroz de Telecity Group a défendu un position assez proche. « Nous sommes prestataires de confiance par défaut car quand un client vient confier ses données sur nos data centers cherche forcément de la confiance » a-t-il argumenté. Mais il a précisé que « la confiance est le début de la paresse, et qu’il faut passer son temps à améliorer ses infrastructures et il faut certifier son organisation mais ce n'est pas suffisant : c'est le terrain qui prouve qu'à cette confiance est méritée » a-t-il dt en ponctuant son intervention de départ. En Grande Bretagne, on dirait aisément que « the proof is in the pudding ! ».

Sylvain Quief représente l’entité cloud computing d'Orange Business Services. Pour lui, il ne pense pas que le cloud est une technologie, « mais que c'est un nouveau business model ». II est aussi d'accord sur le fait que « la confiance est la nécessité de prouver la confiance sur le terrain, et qu’il faut accompagner le parcours de ses clients ; « c’est ce qu'Orange a fait en accompagnant les reprises d'activité de ses clients et les siennes aussi » a-t-il précisé.

la confidentialité des informations comme point de départ

Nathalie Schlang a tenu à apporter une précision de taille : « Quelle est la confidentialité des informations que je souhaite diffuser ? telle est la question de départ, mais aussi la nécessité de dater et certifier ses données avec un parallèle qui peut être fait avec le monde papier » a-t-elle dit. Pour les banques par exemple, il y a de plus en plus de modèles de calculettes (comme le système Pinsentry, pionnier du sujet chez Barclays au Royaume Uni et en Europe) pour s’identifier sur son compte bancaire, et « il existe aussi des systèmes très sophistiqués pour les entreprises qui permet aux échanges B2B de s'établir de façon sécurisée et certifiée sur Internet. Il s'agit de vérifier que le document n'a pas été modifié et qu'il a été signé par la bonne personne en hiérarchisant ses types de documents. En dematérialisant les documents on peut réaliser beaucoup d'économies et c'est pour cela qu'aujourd'hui les contacts que nous recevons ne sont plus seulement des contacts de DSI mais aussi des contacts en provenance du marketing et des ventes » a-t-elle poursuivi. C’est cet élément de criticité des données qui détermine aussi, on l’oublie trop souvent, le degré de sécurité qui est requis.

3 niveaux de confiance

Le représentant de KPMG, Monsieur Leterrier a précisé que « la confiance se joue dans les deux sens ! ». En effet,  Le prestataire doit s'appuyer sur les normes ISO 27001-2-3, et il doit promouvoir la transparence ainsi que faire appel à des tiers de confiance. « Il y a donc 3 niveaux de confiance » a-t-il précisé, et de les énumérer :

  1. le premier se situe au niveau de la DSI de façon un peu évidente ;
  2. La deuxième, se place sur le plan de la partie processus avec « l'aspect transformateur du cloud qui a un impact considérable sur le contrôle interne. Il faut donc s'adapter à un environnement ouvert ce qui est un enjeu » a ajouté M. Leterrier, en rappelant que Sarbanes Oxley engage personnellement le CEO de l’entreprise, donc on ne peut passer outre et cet élément de sécurisation est primordial ;
  3. Enfin, « le cloud hybride imprime une nouvelle gouvernance, de nouvelles fonctions, avec des personnes en charge et garantes du bon fonctionnement du cloud computing ».

la confiance et le verrouillage des niveaux de services (SLA)

Stéphane Duproz a ajouté qu’ « il faut également verrouiller les moyens mis en place par le prestataire pour assurer ses niveaux de service. Il faut donc travailler de façon fournir de meilleurs outils pour les clients et leur permettre de réussir ». Ceux-ci peuvent contenir les outils de certification ISO (cités plus haut par l’interlocuteur précédent) et la transparence (ce qui se traduit concrètement par une « la clause d'audit qui permettra au client de se rendre compte de la capacité a livrer du prestataire ». Jan Gabriel d’ITS Integra a abondé dans le sens de M. Dutroz : « on peut lancer des offres cloud facilement, mais il est plus difficile de donner la confiance ; il y a notamment des prestataires qui ont des ‘démarches de cowboys’ et ce n'est pas bon". Le Syntec, dont M. Gabriel est aussi le représentant, est un lieu d'échange et de travail (livres blancs) dans le domaine du cloud et « c'est très important pour nous ; ce qui en ressort concrètement ce sont des choses qui permettent de servir au client » a-t-il précisé.

la clause de réversiblité

Sylvain Quief et Jan GabrielSylvain Quief d’Orange Business Services a quant à lui insisté sur la nécessité de la clause de réversibilité car « cette potentialité doit être fournie aux clients et il manque une norme d'interopérabilité dans ce domaine ». Selon lui, il « y a une convergence d'intérêt entre client et prestataire et c'est cela qui est enthousiasmant dans ce nouveau moyen de consommer l'informatique ». Mais il faut aussi, selon lui, se méfier de « [l’excès] de sécurisation [qui] tue l'usage et provoque un risque au travers d’un remède pire que le mal », en quelque sorte, il faut donc, en tant que prestataire, « avoir le pied sur le frein et sur l'accélérateur en même temps » a-t-il précisé dans une métaphore sportive.

[Légende de la photo ci-dessus : Sylvain Quief d'Orange Business Services et et Jan Gabriel d'ITS Integra]

la meilleure preuve de confiance : le médecin qui s’administre son propre médicament

« Comment lutter contre les hébergeurs qui ont promis monts et merveille ? » a demandé Stéphane Dutroz, en précisant que son engagement personnel était de « fournir un engagement de disponibilité, mais que chaque acteur (sur chaque couche) [était] responsable de la confiance au niveau de la couche qu'il fournit ». Ceci vient apporter un élément de complexité indéniable dont il faut tenir compte.

Jean François Bauvin a précisé quant à lui que l'enjeu des professions du juridique « c'est qu'il faut adapter la profession aux enjeux technologiques de la dématérialisation. Or, c'est un tout nouvel environnement qui est entièrement conditionné par la technologie, très complexe, qui fera que le sceau de l'huissier délivré de manière électronique, est absolument sûr d'un point de vue sécuritaire et donc juridique ». Un besoin de se rassurer que, selon Sylvain Quief d’Orange Business Services, l’opérateur réalise au travers d’une démarche simple et démonstrative : « l'utilisation en interne des technologies cloud afin de prouver, par l’application à soi-même de cette technologie, qu’elle est bel et bien digne de confiance ».

Yann Gourvennec

crédit photo : © bröc - Fotolia.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage