Il n’est, depuis l’an passé, de bonne informatique qu’externalisée. Mais attention, pas n’importe comment… n’allons pas imaginer que l’on nous ressert une soupe vieille de 10 ou 30 ans et qui aurait eu pour nom les ASP, le travail en batch ou la sous-traitance de la compta en Fortran bien tempérée… Ah, çà non !
Le Cloud,c’est le « service total services compris ». En d’autres termes, expliquait en substance Hervé Schauer, lors de la dernière conférence annuelle du Cert IST,« alors que l’on parlait autrefois de délégation de tâches, en confiant à un prestataire extérieur un traitement comptable ou une gestion de stock, l’on est passé insensiblement à une délégation de moyens ». Peut-on revenir en arrière ? Dans bien des cas, c’est peu probable. D’autant moins probable que cette externalisation des services peut être considérée comme une « suite logique » de la délégation de moyens déjà effectuée au niveau du poste de travail, celle qui s’est peu à peu imposée de manière détournée, par l’apparition « d’infrastructures spontanées » (sic Hervé Schauer), adoptées par les utilisateurs plus que par les entreprises. Le périmètre est devenu de plus en plus flou, débordant largement du cadre défini par, d’un côté, des machines « intra muros » et de l’autre, des « portables des itinérants ». Il fallait commencer à tenir compte des possibles GoToMyPC, Hamachi, Skype, des outils de démonstration/prise de contrôle à distance de type WebEx et autres tunnels totalement opaques à l’administrateur (filtrage et packet shaping non compris). Aujourd’hui, il faut y ajouter les applications Web 2.0, les Agenda Google et ses services de messagerie –ou ceux de Microsoft-, les espaces de stockage distants, les réseaux sociaux… Alors, pourquoi pas les outils métiers, les serveurs, leur maintenance et leur protection, leur mise à jour et tout ce qui gravite autour. Et voilà que ressurgissent les arguments de l’économie à court terme occasionnée par la collocation, par la fédération des ressources, par la mise en commun des infrastructures…
« La question de savoir si l’on adopte alors une politique d’outsourcing de type « cloud » ou non devient alors purement politique et stratégique… rarement technique », pensent tout haut bon nombre de responsables sécurité. « C’est le résultat immédiat –certains disent irréfléchi- d’une décision purement gestionnaire ». Car le « Cloud Computing », ce n’est pas tout que de l’externalisation. C’est, dans bien des cas, une expatriation des données et des processus, expatriation qui va poser un certain nombre de problèmes à résoudre. Et pas seulement sous le seul angle de la continuité de service, du contrat SLA. Le ou les pays qui serviront de havre au traitement de données ont-ils des politiques et des lois protégeant les biens immatériels et les informations privées comparables à celles en vigueur dans nos contrées ? Et quand bien même en auraient-elles, comment peut-on être certain que les « géants du Cloud » qui y implantent leurs data centers respectent ces lois locales ? En cas de sinistre, d’acte délictueux, de déprédation, peut-on espérer qu’aboutisse le travail des forces de l’ordre et de la justice ? Est-il réaliste, en 2009, de croire en l’aboutissement d’une Commission Rogatoire Internationale en Chine, en Inde, voir même aux Etats-Unis ? En admettant même que rien ne soit à craindre de la part du prestataire d’hébergement, peut-on accorder un niveau de confiance comparable envers les autres utilisateurs de ces ressources partagées ? A ces cinq questions, la réponse est hélas « non ». Et ce, quelque soit le niveau de confiance que l’on accorde à « l’externalisateur », quelque soit son niveau de certification, le charme de ses taux de facturation, la solidité de ses VPN ou la valeur de sa cotation boursière. A toutes ces interrogations, les principaux cabinets d’avocats répondent d’ailleurs très prudemment par les mots « code civil », « tribunal de commerce », « jurisprudence constatée entre La Garenne-Bezons et Plougastel-Daoulas »… en d’autres termes, par un « oui au Cloud Computing tant qu’il ne sort pas des frontières du pays ». Pas franchement la définition qu’en donnent les principaux marchands de nuages. Le décalage est net, entre la réalité de l’offre et l’adaptation à la situation du cadre légal. Et c’est l’existence de ce décalage qui ne doit pas être oublié lors de l’analyse des risques précédant toute signature de contrat d’externalisation de type « cloud ».