Avec le Cloud Computing, la sous-traitance cachée est l’un des nouveaux risques auxquels les entreprises doivent faire face.
de multiples raisons de sous-traiter à un tiers
Un fournisseur de Cloud pourra décider de sous-traiter une partie de ses services pour un nombre divers et varié de raisons. Le nombre de sous-traitants peut être multiple, les services souscrits pouvant être différents (achat de 2 services différents à 2 prestataires distincts) ou les mêmes (achat d’un même service à 2 prestataires).
Voici quelques-unes des motivations qu’un fournisseur de Cloud pourrait avoir à sous-traiter une partie de ses services à un autre fournisseur de services Cloud :
- Les fonctionnalités du service sont uniques
- Le service est proposé à un prix très compétitif
- Capacité à encaisser des pics de charge ponctuels (« off-loading »)
- Mise en place d’un plan de secours ou de reprise d’activités
- Partenariat commercial, investissement commun
- (…)
[FR] la sous-traitance cachée dans le Cloud... par orange_business
une sous-traitance plus ou moins affichée
Pour certains services de Cloud, la sous-traitance est clairement affichée : dans le cas du service DropBox, les fichiers qui y sont déposés sont stockés sur le Cloud d’Amazon et plus précisément via le service S3 d’Amazon. Cela est clairement indiqué sur le site de DropBox.
Pour d’autres, c’est plus ou moins clair et ce n’est que lorsqu’un acteur du Cloud a des problèmes que l’on découvre quels autres services Cloud l’utilisent. En juin 2012, les problèmes qu’a rencontrés Amazon sur son service EC2 ont mis en lumière qu’il était utilisé par des fleurons comme Pinterest, Netflix , Instagram mais aussi des services Cloud PaaS comme Heroku. Une indisponibilité du service Amazon, et ce sont d’autres services qui sont impactés.
risques et bénéfices de la sous-traitance dans le Cloud
Pour une entreprise finale, la sous-traitance que son fournisseur de Cloud peut éventuellement faire n’est pas fondamentalement une mauvaise chose : dans la majorité des cas, elle est un moyen permettant de proposer des services innovants, performants et économiquement optimisés. C’est le fameux « ne réinventons pas la roue, utilisons la ».
Cependant, il est important de rester lucide. Si un même service Cloud est utilisé par deux de ses fournisseurs alors il y a un point de défaillance unique… Si par exemple vous utilisiez Pinterest et Instagram comme plateformes de partage de photos pour vos dernières créations de mode, la défaillance d’Amazon en juin 2012 vous aura « coupé du monde » et de vos clients.
En poussant le bouchon un peu plus loin, il est possible de parler de risque systémique si la concentration des services de Cloud est trop forte ; des défaillances en cascade sont toujours une possibilité et les conséquences économiques sont potentiellement fortes avec l’importance que prend l’économie numérique.
impacts juridiques et réglementaires
Idem sur les aspects réglementaires ou juridiques. Utiliser un service Cloud proposé par une société de droit Français ne mettra pas vos données à l’abri d’un Patriot-Act si cette société utilise Amazon S3 pour y stocker vos données…
Au-delà du Patriot-Act, la protection des données à caractère personnel est un sujet à prendre au sérieux. Pour le moment, c’est à l’entreprise ayant collecté initialement les données à caractère personnel qu’incombe la responsabilité de protéger les données… D’où l’importance de poser quelques questions à son fournisseur de services Cloud préféré !
contractualiser et suivre dans le temps
La recommandation est simple : il faut poser des questions aux fournisseurs de services Cloud consultés lors de la phase de prospection et mettre clairement au contrat les règles vis-à-vis de la sous-traitance que le fournisseur effectue ou pourra effectuer.
Un fournisseur de Cloud responsable sera transparent sur le fait qu’il sous-traite ou non des parties de son service à d’autres et en informera ses clients si des changements venaient à survenir (nouveau sous-traitant, remplacement d’un sous-traitant par un autre, …). Dans le cas où le choix d’un sous-traitant venait à modifier de façon substantielle la nature du service rendu, une clause de terminaison anticipée du contrat pourra être de mise.
Jeff
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens