Contrats Cloud : la mariée est peut-être moins belle que vous ne le croyez !
Entre les promesses des prestataires et la qualité du service rendu en réalité, les différences peuvent être importantes, et lourdes de conséquences.
En réalité, beaucoup de contrats de cloud computing recèlent encore d’importantes lacunes, et les entreprises ont du mal à y décerner quels sont les véritables engagements de leur prestataire à leur égard. Mieux vaut donc pour elles y regarder à deux fois avant de signer.
Les avantages du Cloud Computing pour le monde professionnel sont
connus : il offre aux entreprises une plus grande souplesse et une
meilleure agilité pour répondre aux enjeux économiques et métiers
d’aujourd’hui, tout en réduisant leurs coûts par rapport à une solution
informatique in situ.
Rien d’étonnant donc qu’un nombre toujours croissant d’entre elles
sautent le pas et fassent appel à un prestataire pour la mise en place d’une
solution cloud.
La grande majorité des solutions d’infrastructure cloud retenues par
les entreprises sont de type cloud privé, car elles leur permettent de garder
le contrôle de leurs données stratégiques, en conservant leur propre politique
de sécurité et des garanties de service connues.
Mais c’est justement sur ce dernier point que les entreprises peuvent
s’exposer à des déconvenues. Car entre les promesses des prestataires et
la qualité du service rendu en réalité, les différences peuvent être
importantes, et lourdes de conséquences.
En réalité, beaucoup de contrats de cloud computing recèlent encore
d’importantes lacunes, et les entreprises ont du mal à y décerner quels sont
les véritables engagements de leur prestataire à leur égard. Mieux vaut donc
pour elles y regarder à deux fois avant de signer !
Dans le cadre d’un contrat de cloud privé, un prestataire doit pouvoir
s’engager dans quatre grands domaines :
* la continuité du service;
* la
récupération des données en cas de panne,
* la sécurité et la confidentialité des
données,
* et enfin la traçabilité des accès.
Le bon sens voudrait qu’avant toute
signature, les engagements dans ces quatre domaines puissent être correctement
évalués.
Voici ci-dessous les principaux points à examiner.
1. Continuité de service : disponibilité à géométrie variable
En matière de disponibilité de l’infrastructure, beaucoup de prestataires
limitent leur engagement à une garantie de rétablissement sous 4 heures en cas
d’incident, et ne prennent pas en compte un taux de disponibilité global sur
une base mensuelle. Une entreprise pourra ainsi être confrontée à plusieurs
pannes successives d’une durée de trois heures chacune par exemple, et subir
donc un préjudice réel, sans que la disponibilité de son prestataire soit engagée. Mieux vaudra pour elle exiger lors de la
signature du contrat un engagement sur un taux de disponibilité global par
mois, car dans ce cas le compteur tournera dès la première minute du premier
incident.
Concernant la disponibilité des applications, les différences sont
également notables d’un partenaire à un autre. Beaucoup limitent leur engagement
à la disponibilité de l’OS, sans aller plus loin. Si la disponibilité de ses
applications métier est stratégique pour l’entreprise, elle devra exiger dans le contrat des engagements sur un scénario
applicatif, application par application.
2. Récupération des données : des engagements souvent non vérifiables
La plupart des contrats de cloud computing intègrent une garantie de
récupération des données en cas de panne matériel via des procédures de
sauvegarde périodiques. Mais peu de prestataires s’engagent à tester leurs
procédures de sauvegarde à la demande de leurs clients, ou sur un audit
régulier de leurs procédures, afin de vérifier leur efficacité et l’intégrité
parfaite des données restaurées. L’entreprise
devrait pouvoir exiger dans le contrat la possibilité d’une telle vérification.
D’autre part, les contrats cloud intègrent généralement une clause de
réversibilité, qui garantit au client une restitution complète de ses données
en cas de changement de prestataire par exemple. Cette réversibilité est
payante ce qui est logique, mais ce qui l’est moins est que son coût ne soit
pas précisé dans le contrat, et laissé à l’appréciation du prestataire. Pour éviter toute mauvaise surprise, cette
prestation devrait être prévue et évaluée dès le départ dans le contrat. Or il
n’en est rien dans la quasi-totalité des cas.
3. Sécurité et confidentialité des données : procédures auditées ?
La garantie de la sécurité et de la confidentialité des données fait
partie des clauses standard des contrats de cloud computing. Toutefois, deux
aspects doivent être particulièrement vérifiés.
D’une part, les engagements sur la localisation précise des données.
Pour garantir la pleine responsabilité du prestataire, celui doit pouvoir
s’engager par contrat que les données de son client seront toujours stockées
sur le territoire français, ou au moins dans un pays de l’Union Européenne. Cette garantie est à vérifier, notamment
pour les prestataires anglo-saxons.
D’autre part, les procédures garantissant la sécurité et la
confidentialité des données doivent être vérifiables, par exemple via un audit préalable mené par un organisme
de certification tel que le LEXI. Ce n’est hélas souvent pas le cas.
4. Traçabilité des données
La traçabilité des accès aux données chez un prestataire cloud est un aspect souvent négligé dans les contrats. Cette garantie peut pourtant avoir une importance critique notamment dans le cas d'accès frauduleux ou de vols de données.