Faut il être paranoïaque vis-à-vis du Cloud Computing ?

Lorsque je présente les offres SaaS, comme celles de Salesforce, Google ou Microsoft, mes clients me répondent parfois que leur usage est impensable dans leur société pour des raisons de sécurité.En général, ils craignent pour la confidentialité de leurs données.

Les opérateurs SaaS prennent un certain nombre d'engagements pour garantir la sécurité des données de leurs clients. Une bonne partie d'entre eux (Salesforce, Google, etc.) passent une certification intitulée « SAS 70 type 2 ».

Ils subissent ainsi un audit, attestant de leurs bonnes pratiques de sécurité. Afin de rassurer leurs clients, certains font parfois du « zèle » : ainsi, pour accéder aux serveurs Salesforce,  les administrateurs doivent passer 7 barrières de sécurité et s'authentifier par biométrie. Bien peu d'entreprises atteignent ce niveau de sécurité.

Il faut aussi rappeler que ces opérateurs automatisent la réplication des données dans des dizaines de datacenters situés sur plusieurs continents, ce qui assure l'intégrité des données en cas de sinistre. Là encore, peu d'entreprises disposent de ce niveau de sécurité.

Malgré ces mesures beaucoup d'entreprises se méfient de ces acteurs pour deux raisons : ce sont des jeunes sociétés issues du Web, et elles sont souvent américaines. Je vais revenir sur ces points en les comparant aux sociétés plus « traditionnelles ».

Opérateurs SaaS versus acteurs « traditionnels »

Nous confions à nos grandes entreprises (banques, comptables, opérateurs télécoms, etc.) des données extrêmement confidentielles, sur lesquelles elles ont une marge de manoeuvre importante. En effet, ces dernières gèrent nos fonds, nos échanges d'informations avec nos partenaires, etc. Nous leur faisons confiance car ce sont des acteurs établis depuis des décennies, avec lesquels nous avons un rapport parfois un peu « affectif » : il faut cependant être conscient que leur caractère établi ne constitue pas une véritable garantie. Il semble aussi que l'on soit plus exigeant avec les nouveaux entrants qu'avec les acteurs plus anciens : on tolère souvent chez ces derniers un peu de retard dans l'application des bonnes pratiques, car ils ont un existant à faire évoluer. Cette tolérance est assez discutable.

Par ailleurs, nous leur faisons souvent confiance car ce sont des acteurs français. Or un bon nombre d'entre eux (BNP Paribas, Orange, etc.) sont depuis longtemps des acteurs internationaux qui fonctionnent à l'image des sociétés américaines. Ils sont parfois amenés à délocaliser certaines de leurs activités pour bénéficier des législations les plus favorables.

Enfin, il faut bien être conscient que la conséquence d'une fuite de données confidentielles est la même chez un opérateur SaaS que chez un acteur traditionnel : elle déclenchera le départ de nombreux clients et mettra en danger sa survie. Les acteurs SaaS comme les acteurs traditionnels ont donc tout intérêt à limiter au maximum ce risque.

En conclusion, il me semble qu'il y a dans cette méfiance vis à vis des acteurs du SaaS un côté « peur du changement » vis à vis d'un nouveau modèle de service. Cette crainte n'est pas basée sur des éléments factuels.