Cloud computing : le nouveau concept informatique à la mode

Vous utilisez des applications de traitement de texte à distance ? Vous stockez des données en ligne ? Vous faites du cloud computing sans peut-être le savoir.

L'originalité du concept réside dans son architecture web mutualisée, les applications et les données ne se trouvant pas dans l'ordinateur local mais dans un « nuage » (cloud) composé de différentes infrastructures à haut et très haut débit (ressources tels que serveurs de calculs, stockage de données... ou services techniques tels que messagerie...), délocalisés et interconnectés via le réseau.

Il s'agit en quelque sorte d'une extension du système d'information qui tire parti de ressources situées sur internet, permettant de disposer d'une puissance informatique considérable et modulable. 

Dans la ligne de l'ASP et du SaaS[1], le « Cloud computing » est une nouvelle forme d'informatique à la demande qui séduit de plus en plus les entreprises qui souhaitent externaliser leurs applications, tout particulièrement pour leurs développements web qui exigent d'importantes capacités de calcul ou de stockage.

La prestation du fournisseur de cloud computing consiste à leur fournir une plate-forme capable d'accueillir ses applications à un prix qui n'est plus calculé sur l'infrastructure mais sur la consommation effective des ressources (logiciels et services).

En effet, les règles de facturation se font en général en fonction de la demande (temps de processeur, espace de stockage, volume des données). En d'autres termes, le client « achète » de la puissance informatique, comme il le fait déjà pour l'électricité ou le gaz.

Les fournisseurs de cloud computing n'en finissent pas de prôner les avantages de cette solution qui est simple et rapide à mettre en oeuvre. En effet, l'infrastructure du fournisseur est totalement autonome et déconnectée de celle du client, permettant à celui-ci de s'affranchir de tout investissement préalable (homme ou machine).

Le cloud computing offre ainsi une grande flexibilité, permettant notamment de tester rapidement un prototype ou encore d'assurer un service informatique sur une période de courte durée et plus généralement d'augmenter les puissances de stockage et de calcul à la demande, en fonction du besoin. Il favorise également la mobilité des utilisateurs puisque l'accès aux données et aux applications peut se faire à partir de n'importe quel périphérique connecté.

L'enthousiasme pour cette formule ne doit pas cependant pas occulter les risques qui sont bien réels.

La continuité du service constitue une première préoccupation. Certes, certains feront valoir que la virtualisation apporte une réponse bien plus satisfaisante puisque, en cas de panne, un serveur virtuel peut être déplacé presque instantanément, contrairement à un serveur dédié localement ou hébergé.

Il est vrai que la dématérialisation des serveurs permet de passer dynamiquement sur une machine physique plus puissante ou de faciliter la transférabilité vers un autre prestataire ou la réversibilité en interne.  Pourtant, le risque de déconnexion à la messagerie et aux outils en ligne est un cas de figure bien réel dont certains internautes ont pu faire la douloureuse expérience encore récemment.

Aussi, l'organisation contractuelle du mode opératoire en cas d'interruption ou de dégradation du service ne devrait pas soulever de difficultés en prévoyant par exemple la réplication sans délai sur plusieurs sites distants ou encore l'engagement de restauration des données dans des délais contractuels à définir. Plus généralement, le dispositif devra préciser les conditions d'intervention et de rétablissement des niveaux de service ainsi que les modalités d'information et de documentation de la nature du problème rencontré.

La question de la pérennité de la solution est directement liée à celle du fournisseur de cloud computing. Elle induit la définition du plan de réversibilité ou de transférabilité des données et des applicatifs avec les garanties habituelles. La mutualisation des plates-formes devrait a priori faciliter la montée en charge, la disponibilité ainsi que le plan de reprise d'activité à moindre coût. Encore faut-il l'avoir anticipée et organisé contractuellement.

Sur le terrain de la sécurité des données, le problème fondamental reste celui de la sécurisation de l'accès à l'application entre le client et le serveur distant. Il s'agit d'évaluer le niveau de criticité des applications et données concernées. Le risque est amplifié par la mutualisation des serveurs (qui constitue un facteur de risque de violation de la confidentialité) et par la délocalisation des serveurs.

Il convient donc a minima de prévoir que le fournisseur de cloud computing accepte de se soumettre aux procédures d'audit externe, voir de produire les certifications de sécurité nécessaires ou exigées dans certains secteurs. Cela étant dit, comme on n'est pas dans la logique d'un prestataire « physique », les traitements du client s'exécutent dans un environnement totalement virtualisé où il n'est pas possible de montrer les équipements dédiés.

Pourtant le responsable du traitement doit être en mesure de justifier de la mise en oeuvre de mesures de sécurité, notamment lorsque des données à caractère personnel sont concernées. Il doit donc être en mesure de les imposer au fournisseur de cloud computing et de veiller à leur respect, sauf à engager sa propre responsabilité.

S'agissant du modèle économique du cloud computing, il permet très logiquement d'optimiser les coûts par rapport aux systèmes conventionnels puisqu'on ne raisonne plus en termes d'investissement d'infrastructure mais de coûts d'exploitation.

Pour autant, il convient de rester vigilant sur les conditions de la licence qui varient de manière importante d'un fournisseur de cloud computing à l'autre. Certains éditeurs proposent une licence par serveur physique et non par machine virtuelle, laissant ainsi aux entreprises la faculté de déployer leurs applications sur autant de machines virtuelles que nécessaire.

D'autres prévoient un paiement à l'utilisation ou à l'utilisateur, même s'ils autorisent le transfert de licence d'une machine virtuelle à l'autre ou encore l'installation des logiciels sur un nombre illimité de machines virtuelles. Dans ce contexte, il importe de bien définir contractuellement l'outil de mesure à prendre en compte pour calculer la consommation de chaque entreprise.

Si les expériences du cloud computing sont actuellement circonscrites dans les entreprises à des applications en test, on peut penser que l'évolution va rapidement se faire dans des environnements de production. La prudence commande de limiter son utilisation, dans un premier temps, aux applications les moins sensibles de l'entreprise, et surtout de prévoir un dispositif contractuel adapté.

Christiane Féral-Schuhl et Justine Sinibaldi
Avocats à la Cour