Cloud Computing : pas de croissance sans confiance !

Le cloud est devenu en quelques années l’un des principaux moteurs de la numérisation de l’économie. Mais sa mise en œuvre implique une relation de confiance avec les prestataires. Un enjeu dans lequel l'Europe a un rôle à jouer.

Le Cloud Computing est devenu en quelques années l’un des principaux moteurs de la numérisation de l’économie. D’après l’édition 2014 du Cloud Index PAC, ce sont ainsi 29% des entreprises françaises qui utilisent aujourd’hui l’informatique « en nuage ». Et ce marché, qui atteignait déjà 5 milliards d’euros à la fin 2014 en France, devrait poursuivre sa progression pour atteindre 7 milliards d’euros en 2018.  Pour des organisations confrontées à des réductions budgétaires, les avantages du cloud sont multiples : flexibilité, optimisation des coûts (certains analystes parlent de 20% d’économies), rapidité de déploiement… 80 % des décideurs estiment ainsi que les solutions de stockage et de sauvegarde de données dans le cloud peuvent répondre à leurs besoins.

Pourtant, le développement du Cloud Computing est  freiné par les inquiétudes légitimes qu’il suscite en matière de maitrise des données : pour 48% des personnes interrogées, la sécurité constitue la première raison de se tenir à l’écart de ces technologies. Pas question pour autant d’opposer Cloud Computing et sécurité : les systèmes d’information internes de l’entreprise peuvent aussi être vulnérables. Dans bien des cas, le recours à un prestataire spécialisé ayant normalement mis en place un dispositif de sécurité adapté permet même d’améliorer le niveau de sécurité des données. A la condition toutefois d’avoir choisi des offres adaptées. Pour cela, il est indispensable, avant toute externalisation, de procéder à une classification des données internes et de réaliser une analyse de risques approfondie. Toutes les données ne doivent pas nécessairement être externalisées, en tout cas sans mécanisme de sécurité adapté.

Dans un second temps, l’analyse des offres du marché, et le suivi dans le temps du prestataire retenu, permettront de maitriser la plupart des risques. Même indispensables, les dispositifs de sécurité physique et logique proposés par le prestataire ne constituent cependant qu’une partie de la réponse. Il s'agit également de créer une relation de confiance entre le client et son prestataire. L’utilisateur doit par exemple être certain que le prestataire respectera l’ensemble des réglementations françaises et européennes existantes en matière de protection des données personnelles. Il doit également s’assurer que l’opérateur de  cloud ne sera pas soumis à des réglementations extra-européennes susceptibles d’être en contradiction avec les règles en vigueur sur son propre territoire. Le meilleur exemple en est le Patriot Act américain en vertu duquel les autorités US peuvent accéder aux données informatiques détenues par les particuliers et les entreprises sans autorisation préalable et sans en informer les utilisateurs. 

Certains argueront que d’autres pays, dont la France, possèdent désormais des réglementations similaires. Si ces dispositifs soulèvent des interrogations légitimes quant à leurs modalités et à l’étendue de la surveillance qu’ils instituent, il convient néanmoins de différencier des dispositifs de surveillance massifs comme celui institué par les autorités américaine au lendemain du 11 septembre et des mécanismes de surveillance ciblée et limitée. Publié le 24 décembre 2014, le décret d’application relatif à l’accès administratif aux données de connexion qui transpose l’article 20 de la Loi de Programmation Militaire de 2013 n’institue pas d’accès direct et permanent aux données via un système de sonde. Il stipule au contraire qu’une organisation, placée sous l’autorité du premier ministre, centralise les requêtes et les transmet ensuite aux différents opérateurs sur le modèle du dispositif existant pour les écoutes téléphoniques. Les données (ou plus exactement les métadonnées puisque le dispositif ne concerne que les données de connexion) sont par ailleurs supprimées au bout de trois ans. Une autorité de contrôle composée notamment de deux parlementaires est enfin instituée. Nous sommes donc loin du Patriot Act et du système PRISM…

A cet égard, il est important de souligner que l’hébergement sur le territoire européen ne constitue pas une garantie : à l’instar de Microsoft, qui s’est vu contraint par la justice américaine de transférer des données de sa filiale irlandaise en 2014, les filiales européennes des groupes américains sont susceptibles de faire l’objet de réquisitions de la part des autorités américaines au titre du Patriot Act. Tout recours à un prestataire cloud, notamment s’il concerne des offres SaaS d’éditeurs CRM ou d’ERP qui abritent par définition des données sensibles, doit donc, outre l’analyse de risque amont, donner lieu à un examen très minutieux du contrat client et des conditions générales de vente. La confiance est à ce prix.

L’Europe a-t-elle cependant les moyens de construire cette confiance numérique à laquelle elle aspire et de défendre sa vision en matière de protection des données personnelles ? Dans un marché du cloud dominé par des offreurs américains, l’approche est clairement ambitieuse. Elle permet cependant d’initier un cercle vertueux en confortant et en promouvant les usages et, par là-même, l’industrie numérique européenne dans un contexte politique post-Snowden qui nous est clairement favorable. Se lamenter de la toute-puissance des GAFAs (Google, Amazon, Facebook, Apple) et mettre en place des règles protectionnistes (qui brident aussi souvent les acteurs français) est vain. Il faut au contraire entrer dans une véritable démarche d’influence et construire une politique industrielle pragmatique. Tel est bien l’objectif du plan Cloud Computing de la Nouvelle France Industrielle.

Il n’est en outre pas interdit de penser que les opérateurs américains, qui souffrent aujourd’hui de la perte de confiance engendrée par les révélations sur l’espionnage massif américain et se retrouvent confrontés à des législations européennes de plus en plus restrictives à leur égard (notamment en Allemagne), chercheront à adapter leurs offres pour se conformer aux exigences européennes. Toute initiative de « droit mou » comme la certification Cloud Confidence, récemment créée avec une quinzaine d’acteurs européens du Cloud Computing, est donc utile pour influencer progressivement le cadre juridique international. L’enjeu est majeur. Il en va de notre souveraineté. L’Europe ne saurait rester, selon l’expression de la sénatrice Catherine Morin-Desailly, une « colonie » du monde numérique produisant des données exploitées par d’autres. Certes, la façon dont la souveraineté s’exerce à l’ère numérique a changé : l’Etat voit son rôle réduit au profit des entreprises et des particuliers qui sont désormais dépositaires d’une parcelle de souveraineté. Mais les fondamentaux restent les mêmes : la préservation et la valorisation de nos intérêts "numériques" passent par l’exploitation de l’ensemble des leviers d’action à notre disposition, qu’ils soient politiques, fiscaux, industriels, technologiques ou juridiques.