Externaliser ses données est une décision qui relève du chef d’entreprise, estime le cabinet Gartner. Le dirigeant doit prendre en compte les risques sécuritaires, politiques, juridiques, de protection de la vie privée, d’image de marque de l’entreprise et de perte de compétitivité pour cause de manque d’innovation dans son informatique.
A l’ère du Cloud Computing, la notion de localisation physique des données va perdre sa signification, selon le cabinet Gartner. Elle va être remplacée par une combinaison de localisation juridique, politique, et logique, vers 2020. L’analyse de Gartner semble parfois prêcher en faveur des prestataires de Cloud américains mais elle reste cependant instructive. Quoiqu’il en soit, la décision finale de la localisation devra être prise par le chef d’entreprise en arbitrant entre les différents risques.
Les révélations d’Edouard Snowden
Cette évolution provient en ligne droite des discussions autour du Patriot Act américain et des révélations d’Edouard Snowden, sur l’espionnage généralisé des données effectué par la NSA, l’agence de sécurité américaine.
« Les responsables informatiques se retrouvent empêtrés dans des discussions concernant la localisation des données, que ce soit avec les juristes, les clients, les autorités de régulation, les représentants des salariés, les dirigeants de l’entreprise, et le grand public » relève Gartner.
Le chef d’entreprise responsable
Reste qu’au bout du compte, c’est aux chefs d’entreprise de prendre la décision, prévient le cabinet. « Les dirigeants devront assumer le risque résiduel et équilibrer les différents types de risques, entre les incertitudes juridiques – qui seront permanentes -, les amendes ou l’indignation du public, l’insatisfaction des employés, les pertes de marchés dues au manque d’innovation, ou des dépenses excessives sur des systèmes informatiques obsolètes ou redondants » estime Gartner.
Gartner liste quatre types d’emplacement pour les données. On trouve ainsi l’emplacement physique, l’emplacement juridique, l’emplacement politique et l’emplacement logique. « Aucun des modes de localisation des données ne résout les problèmes seul » prévient Gartner.
Un futur hybride
Le futur sera hybride, répond le cabinet. « Les entreprises vont utiliser plusieurs emplacements avec des modèles de fourniture des services différents. Les responsables informatiques vont cadrer la discussion avec les différentes parties prenantes, mais c’est au chef d’entreprise de prendre la décision, à partir du conseil juridique, des responsables de la conformité réglementaire, des responsables sécurité, des professionnels de la protection de la vie privée, et le DSI. »
Dans le détail, le contrôle de l’emplacement physique est souvent synonyme d’une meilleure maîtrise des données, surtout dans le cas d’une proximité géographique, et répond aux demandes de certaines autorités de régulation. « Le contrôle de l’emplacement physique doit demeurer un sujet de préoccupation et doit faire partie des discussions par rapport aux autres types de risques, » conseille Gartner.
La résidence juridique peu connue des DSI
La résidence juridique des données pour sa part, est peu connue de nombreux professionnels de l’informatique, affirme Gartner. Cette résidence juridique dépend de l’entité juridique qui contrôle la donnée. Il peut y avoir une deuxième entité juridique (un prestataire IT) qui traite la donnée au nom de la première, et une troisième entité juridique qui aide la deuxième dans sa tâche (comme un prestataire de centre informatique en Inde).
Dès lors, des clauses comme « il est illégal de stocker les données en dehors du pays » sont souvent des interprétations du langage juridique peu claires prévient Gartner. Chaque entreprise doit décider si elle accepte de telles interprétations.
Le contexte politique joue
Vient la résidence politique. Le contexte local au pays comprend des considérations telles que le renforcement des lois pour les demandes d’accès aux données, la sensibilité à l’usage de main d’œuvre dans les pays à bas coût qui mettent la pression sur les emplois locaux, ou l’équilibre politique international.
Selon Gartner, ce sont des critères plus importants pour le secteur public, les entreprises qui ont des millions de clients, ou celles dont la réputation est déjà entachée. « Alors que l’indignation du public est encore élevée lorsque le stockage des données a lieu à l’étranger, il y a peu de preuve que les consommateurs changent réellement leurs habitudes d’achat » estime cependant Gartner.
Google, Amazon, etc.
Enfin, il y a l’emplacement logique. C’est la tendance émergente pour les arrangements internationaux, et cet emplacement logique est déterminé par qui a accès aux données. Gartner donne un exemple (qui s’appliquerait à Google, Amazon, Microsoft, etc.) : une société allemande signe un contrat avec la filiale irlandaise d’un fournisseur de Cloud américain, en sachant explicitement qu’une sauvegarde de toutes les données est réalisée en Inde dans un Data Center.
L’emplacement juridique du fournisseur est l’Irlande, l’emplacement politique sera les Etats Unis, et l’emplacement physique sera l’Inde. Mais d’un point de vue logique, toutes les données seront en Allemagne, affirme Gartner.
Des précautions qui bloquent la facilité d’usage
Pour que cela arrive, toutes les données en transit et celles au repos (en Inde), devraient être chiffrées, avec les clés de chiffrement situées en Allemagne. Avec une telle architecture, Gartner souligne qu’il y a une augmentation des coûts, de la complexité, et une moindre facilité d’usage, que ce soit pour une prévisualisation des données, des recherches, des accès en mobilité ou les délais de latence.
Il semble en effet que ce soit le DSI (ou plutôt son PDG) qui porte la responsabilité sur les données, même en cas de perte ou de fuite du fait du fournisseur. La loi le responsabilise car elle considère que c’est le DSI qui donne les instructions d’organisation et de sécurité au fournisseur de Cloud (ce qui dans la pratique n’est pas vrai puisque les offres de Cloud sont standards, définies par le fournisseur, et proposées à l’identique aux clients) un vieux relent des années 90 lors du temps des hébergeurs.
Le DSI doit pouvoir lister les pays ainsi que les sous-traitants, vis-à-vis des tiers bénéficiaires et des autorités de supervision (comme la CNIL) et s’assurer que la sécurité du traitement des données est suffisant (mais comment jauger ce « suffisant » en l’absence de standard/certification pour le Cloud ?!).
Ce qui dans la pratique est très difficile car des fournisseurs ne donnent pas la liste des pays, et la plupart se donne la possibilité d’ajouter à tout moment un nouveau sous-traitant et/ou un nouveau pays, risquant de remettre en cause la légalité de l’utilisation du cloud en question.
Bref, il y a un besoin important pour les entreprises utilisatrices européennes de mettre à jour la législation européenne qui aujourd’hui sur la base de la directive de 1995 est par trop en défaveur des entreprises utilisatrices, constituant un frein important à l’adoption du Cloud : la publication de la Commission Européenne de 2010 des Clauses Types en responsabilité conjointe entre responsables de traitement constitue une lueur d’espoir.
Même si des DSI audacieux voire téméraires, et/ou très bien informés et ayant pu négocier des solutions de contournement (limitation à l’UE, cryptage des données, couverture par des assurances, etc), ont pu aller dans le Cloud.