Le cloud computing, qui signifie littéralement « nuage informatique », constitue une petite révolution en termes de gestion de l’infrastructure informatique. Nous tenterons de définir ce nouveau phénomène avant d’en évoquer les incontestables atouts (§1), puis nous nous attarderons davantage sur les risques qu’il implique notamment pour les données (§2).
§ 1 : Décryptage d’un phénomène
Afin de comprendre l’intérêt suscité par le cloud, une définition s’impose (A), avant d’évoquer les raisons qui en font une formule véritablement attrayante pour les entreprises (B).
A) Définition
Il n’existe pas à ce jour de définition officielle ou standardisée du cloud computing. Nous nous baserons sur la définition proposée par le National Institute of Standards and Technology (NIST) et largement reprise par de nombreux autres organismes, notamment par l’European Network and Information Security Agency (ENISA). Cette définition peut être traduite de l’anglais comme suit : “Le cloud computing est l’ensemble des disciplines, pratiques, technologies et modèles commerciaux utilisés pour délivrer, comme un service à la demande et par le réseau, des capacités informatiques (logiciels, plateformes, matériels)”.
Pour simplifier, le cloud permet aux entreprises de disposer d’une capacité de stockage et de services informatiques externalisés à la demande. Les applications et données ne sont donc pas hébergées par l’utilisateur mais dans un « nuage » formé de l’interconnexion de serveurs géographiquement distants mis à disposition par un prestataire de service de cloud.
Le NIST complète sa définition du cloud computing avec plusieurs éléments. Tout d’abord, le cloud se décline actuellement en trois catégories de services :
– Le SaaS (Software as a Service) qui consiste à louer des applications d’entreprise (messagerie électronique, CRM…). Il s’agit de mettre à disposition à distance une fonction opérationnelle standardisée, un logiciel. C’est le modèle le plus répandu.
– Le PaaS (Platform as a Service) permet de louer une plate-forme de développement, de tests, de recette ou d’exécution. Il s’agit de la mise à disposition d’une plate-forme prête à l’emploi en vue notamment d’y développer ses propres applications.
– L’IaaS (Infrastructure as a Service) porte sur la location de capacité informatique, capacité de calcul ou de stockage.
D’après une étude réalisée par EuroCloud, 31 % des organisations françaises auraient eu recours au SaaS en 2011, contre seulement 5 % à l’IaaS et 2 % au PaaS(86).
Notons que de nouvelles offres de cloud émergent, par exemple le DaaS (Data as a Service) ou encore le CaaS (Communication as a Service).
Un autre élément de définition du cloud est son mode de déploiement : public, privé ou hybride.
Dans le cloud public, le fournisseur est externe, il est propriétaire de son infrastructure et ses services sont accessibles à tout le monde (moyennant paiement bien sûr) via internet. Bien souvent dans ce cas, l’utilisateur ne connaît pas le lieu exact d’hébergement de ses données dès lors que le prestataire de cloud possède plusieurs centres de traitement des données (datacenters) et les données passent de l’un à l’autre afin d’optimiser les capacités du prestataire.
Dans le cadre d’un cloud privé, les ressources sont mises à la disposition d’un seul client. L’infrastructure peut être gérée par l’entreprise elle-même (cloud privé interne) ou bien par un tiers (cloud privé externe).
Enfin le cloud hybride est une combinaison de cloud public et privé.
Selon une étude(87) réalisée par PAC(88) en 2010 auprès de 200 décideurs informatiques français, les entreprises ne recourent que minoritairement au cloud public, pour des applications peu critiques du système d’information, alors que cette même étude révèle que 71 % des investissements des directeurs des systèmes d’information vont vers la version privée du cloud, et 13 % vers le cloud mixte. Ces chiffres transcrivent les craintes des entreprises concernant le contrôle et la sécurité de leurs données(89).
B) Une formule attractive
Le cloud n’est pas qu’un phénomène de mode, il s’agit d’un modèle informatique de plus en plus répandu. MARKESS International estime qu’une PME française sur cinq a utilisé au moins une solution de cloud computing (SaaS, PaaS ou IaaS) en 2012. Elles devraient être une sur trois d’ici 2014(90).
Il faut dire que le cloud a de quoi séduire : accès universel via le réseau internet, flexibilité, et paiement à l’usage sont les caractéristiques principales de ces services.
Toute entreprise peut ainsi choisir de recourir à des services accessibles à distance et fonctionnant selon les protocoles internet, plutôt que de réaliser des investissements pour avoir ses propres équipements. Cela peut aussi les décharger de toute la gestion informatique, les mises à jour de logiciel, etc. Ce qui peut représenter une baisse importante des coûts, surtout pour des petites entreprises qui ont souvent un budget informatique limité. De plus, le cloud promet l’amélioration des performances du service délivré, les clients gagnent en principe en efficacité et donc en productivité.
De plus, le cloud est modulable : l’entreprise utilisatrice peut ajuster les ressources selon les besoins du moment (à la hausse comme à la baisse) en fonction de son activité et ce de manière très dynamique.
Cette flexibilité, couplée à une facturation à l’usage, font du cloud une option séduisante pour les entreprises. On est dans une logique d’informatique à la demande : les clients ne consomment que ce dont ils ont besoin et uniquement quand ils en ont besoin. Cela leur permet d’optimiser leurs coûts en matière de gestion de l’informatique qui devient une charge récurrente et non un amortissement.
Le parallèle avec la consommation d’électricité est aisé : chaque utilisateur paye selon son usage, aucun investissement n’est nécessaire pour être connecté au réseau. Autre point commun : la réversibilité, puisque le client peut à tout moment résilier son contrat.
Notons tout de même que le paiement à l’usage n’est pas toujours synonyme d’économies. L’entreprise utilisatrice devra en effet rester attentive aux « unités de facturation » prévues (nombre de clic, nombre d’utilisateurs, …) ainsi qu’au dépassement d’éventuels seuils fixés dans le contrat sous peine de subir un envol du prix.
D’ailleurs, toujours selon l’étude menée par PAC, le paiement à l’usage n’est pas la première réponse des responsables informatiques interrogés sur les avantages du cloud. En effet, ils avancent d’abord la disponibilité des ressources (42% des réponses) et la flexibilité de la plate-forme (34%).
L’optimisation de l’infrastructure et le paiement à l’usage ne rassemblent que 19 et 21% des « suffrages ».
Si les atouts du cloud sont indéniables, les risques sont eux aussi bien réels.
§2 : Les risques
La dépendance aux services de cloud constitue un premier risque pour l’entreprise (A). En outre, sa perte de contrôle sur la gestion du système informatique (B) est préoccupante au regard des cyber-risques, en particulier s’agissant de la sécurité des données confiées au prestataire (C). Dans ces conditions, le seul moyen dont l’entreprise dispose pour conserver une maîtrise sur la sécurité de son système d’information est d’imposer contractuellement un certain niveau de prestation à son fournisseur (D).
A) Dépendance
L’externalisation de tout ou partie de son informatique vers le cloud par une entreprise la rend nécessairement extrêmement dépendante de ces services et donc du réseau. Si le cloud est momentanément indisponible ou encore si le client rencontre le moindre petit souci de connexion, il y a un risque pour la continuité de l’activité de l’entreprise.
Il faut impérativement fixer dans le contrat les niveaux de services attendus par l’entreprise en terme de disponibilité, de continuité (plan de secours), de qualité, de puissance, de temps de rétablissement de services et de critères de bande passante (point très important car la qualité du service est intimement liée au réseau). Des sanctions suffisamment dissuasives doivent être prévues.
Une clause d’évolution du périmètre du service doit également figurer au contrat afin que le service puisse s’adapter aux besoins de l’entreprise cliente, notamment en termes de volumétrie.
On peut en outre remarquer une forme de dépendance du client au fournisseur de cloud initialement choisi. En effet, il est peut-être compliqué pour l’entreprise de migrer vers un autre prestataire ou encore de revenir à une gestion interne des données du fait de l’absence d’outils, de procédures et de standards internes.
En cas de recours au cloud computing, l’entreprise est donc fortement dépendante de son fournisseur, et elle perd corrélativement le contrôle sur son infrastructure informatique.
B) Perte de gouvernance
Le recours au cloud entraîne d’une manière générale une perte de gouvernance des opérations informatiques avec pour dommage collatéral la remise en cause de la fonction de Directeur des systèmes d’information (DSI) qui, pour les plus pessimistes, serait même amenée à disparaître. Sans aller jusque-là, il est clair que le recours au cloud computing impacte la mission du directeur informatique qui devient un « véritable courtier de l’information » selon Patrick Debus-Pesquet, chief technology officer chez CA technologies(91). Pour beaucoup, il est en effet nécessaire de manager le cloud en interne, et cette tâche pourrait naturellement revenir au DSI.
Quoi qu’il en soit, l’entreprise cliente doit être consciente que cette perte de contrôle de l’informatique est de nature à aggraver les cyber-risques et doit gérer cela au mieux. Le client doit être en mesure de surveiller le respect par le fournisseur de cloud des niveaux de services attendus, particulièrement en matière de sécurité et de confidentialité des données. C’est d’ailleurs la première crainte avancée par les décideurs informatiques selon l’étude de PAC précédemment citée, avant la dépendance au réseau. Cette appréhension est d’autant plus compréhensible que les contrats de fourniture de cloud sont pour beaucoup des contrats d’adhésion, laissant peu de place à la négociation. L’entreprise doit néanmoins s’assurer que le contrat offre des garanties suffisantes en termes de disponibilité, d’intégrité et de confidentialité des données, les trois critères de sécurité pouvant être malmenés dans le cloud.
On peut tout particulièrement s’inquiéter de la sécurité des données stockées sur le cloud.
C) Sécurité des données
La mutualisation des serveurs et leur délocalisation dans le cadre du cloud computing amplifient le risque d’atteinte aux données. Si les grands fournisseurs sont en principe à même d’assurer le respect des standards de sécurité, ils sont aussi par ailleurs de belles cibles pour les cybercriminels puisqu’une seule attaque permettrait d’accéder à un très grand nombre de données. Le risque de malveillance d’une manière générale peut avoir des conséquences très importantes sur un cloud. De même, une simple négligence de la part du prestataire et ce sont des millions de données qui peuvent être supprimées, altérées ou divulguées. Toutefois, le risque de perte des données, souvent mis en avant dans le cadre du cloud, n’est en réalité pas majeur. Ainsi pour Isabelle Renard, docteur ingénieur et avocat, ce risque est souvent moins important dans de grandes infrastructures de cloud que chez de petits prestataires classiques ou bien en cas de gestion interne du système d’information.
En revanche, toujours selon Isabelle Renard, la « sur-conservation » des données constitue un vrai risque qui est clairement favorisé par le cloud qui donne le sentiment que l’on peut tout stocker sans limites et sans que cela ne coûte cher. Or, naturellement, plus l’entreprise possède de données, plus le risque d’atteinte est important. Au même titre que la sauvegarde, une politique de destruction doit être définie. Sur ce point, la résiliation du contrat de fourniture de cloud peut être redoutée par le client. Si le prestataire s’engage en principe contractuellement à supprimer effectivement toutes les données d’une entreprise suite à la rupture de leur contrat, comment s’assurer qu’il ne restera pas une sauvegarde quelque part sur le cloud ?
D) Une indispensable vigilance contractuelle
On l’aura compris, le cloud offre de nombreux atouts aux entreprises mais engendre aussi des risques, ou plus précisément il en aggrave certains. C’est une question de choix pour l’entreprise qui doit faire la balance entre les avantages procurés par le cloud et les risques afférents selon la sensibilité des informations qu’elle veut lui transférer. Les offres sont nombreuses sur le marché, avec des prix et des garanties variables. Les entreprises doivent avoir conscience des nouvelles problématiques que pose le recours à ce type de service, notamment en terme de responsabilité, afin de jouir de tous les progrès qu’il peut offrir tout en se protégeant au maximum. Cela passe par une attention accrue sur les termes du contrat, seul moyen pour les entreprises d’avoir une emprise sur la sécurité de son système dans le cadre du cloud. Le problème, nous l’avons déjà évoqué, c’est le caractère intangible des offres de cloud actuelles. Mais à défaut de pouvoir imposer toutes ses exigences, l’entreprise doit obtenir du prestataire des garanties minimales de sécurité. La question des responsabilités des parties en cas d’atteinte doit également être abordée, car elle est cruciale pour les entreprises, surtout s’agissant des données personnelles(92). La CNIL a d’ailleurs publié le 25 juin 2012 sept recommandations « indicatives » afin d’accompagner les entreprises dans leur choix d’une offre de cloud ainsi qu’une liste de clauses types pouvant être insérées dans les contrats(93).
Nous avons envisagé la diversité de causes pouvant mettre en échec la sécurité des systèmes d’information. Pour appréhender entièrement les cyber-risques, il convient maintenant d’évoquer les impacts financiers que peuvent avoir la concrétisation des menaces exposées pour une entreprise. En effet, ces risques sont redoutables par l’importance et la multiplicité des faits générateurs d’atteintes aux données et aux systèmes, mais ils le sont aussi et surtout au regard des coûts qu’ils engendrent pour les entreprises impactées. Selon le rapport du World Economic Forum de Davos(94), les pertes des entreprises françaises dues à ce risque s’élevaient en 2010 à 1,7 milliards d’euro. En outre, selon une autre étude, les conséquences financières de la cybercriminalité devraient augmenter de 10% par an jusqu’en 2016(95).
De nombreuses études se sont penchées plus particulièrement sur le coût des atteintes aux données. Symantec et le Ponemon Institute, par exemple, publient chaque année depuis 2010 un rapport détaillé sur le sujet, avec des données spécifiques à certains pays, et notamment la France. La dernière édition(96) révèle que les violations de données ont coûté en moyenne 2,86 millions d’euro aux entreprises françaises qui en ont été victimes en 2012, contre 2,55 millions d’euro en 2011, soit une augmentation de 11%. Plus précisément, le coût moyen par donnée compromise s’élève à 127 euro en 2012, contre 122 euro en 2011 (soit une augmentation de 4,1%). Sachant qu’en moyenne, 22 242 données sont compromises à l’occasion d’un incident.
On apprend également que les coûts par donnée compromise sont plus importants dans certains secteurs, comme l’industrie, la pharmacie ou la finance où ils peuvent être jusqu’à 70% plus élevés. Le coût est également plus élevé lorsque l’atteinte aux données a pour origine un acte de malveillance.
Ces chiffres prennent en compte toute une série de coûts, directs et indirects, subis par les entreprises du fait d’une atteinte aux données. Ce sont plus généralement toutes les conséquences financières pouvant résulter d’une atteinte au système ou aux données dont les causes ont été définies, que nous souhaitons à présent détailler.
86 EuroCloud France, Livre Blanc – L’évolution maitrisée vers le IaaS/PaaS, novembre 2011
87 PAC – EMC, Intel, VMware, Livre Blanc – Le Cloud Computing en France, 2010
88 Pierre Audoin Consultants (PAC) est une société de conseil et d’études de marché spécialisée dans le domaine du logiciel et des services informatiques.
89 Cf infra §2
90 MARKESS International, Référentiel de Pratiques, Le Cloud Computing dans les PME Françaises, décembre 2012
91 MAYEGA (E.), Le cloud computing, au-delà de l’effet de mode, La Tribune de l’assurance, n°155, février 2011, p.64
92 Cf infra Titre 2, Chapitre 1, Section 3, §1
93 www.cnil.fr, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012
94 World Economic Forum Annual Meeting 2012 Report, Davos-Klosters, Switzerland, 25-29 janvier 2012
95 Gartner Predicts 2012, www.gartner.com
96 Ponemon Institute, 2013 Cost of Data Breach Study : France, mai 2013 (26 entreprises françaises interrogées, représentant 10 secteurs différents).
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance