Cloud
Les entreprises vont dans le cloud la peur au ventre
Par La rédaction, publié le 07 septembre 2012
Les entreprises n’ont pas toutes les garanties nécessaires, mais les avantages du cloud sont si intéressants qu’elles y vont quand même. Les DSI témoignent.
Selon une étude mondiale menée récemment par Thales et l’institut Ponémon, 2 entreprises sur 5 considèrent que le cloud est une atteinte à leur sécurité. Pourtant, la moitié des entreprises stockent, ou sont sur le point de stocker, dans le nuage des informations sensibles, confidentielles. Et elles le font alors que 63% d’entre elles (76% en France) reconnaissent ne pas savoir comment leur hébergeur va protéger ces données !
« Oui, il est légitime de se poser la question de la confidentialité de nos informations stockées dans le cloud. Mais, franchement, les gains du cloud pour l’entreprise sont supérieurs aux risques », commente David Ohayon, le DSI de Weekendesk.com. Pour lui, client de Google Apps for Business, de Box.com et de Salesforce.com, « stocker la majorité des données dans le cloud apporte la flexibilité d’accéder à l’information depuis les mobiles et celle de partager cette information avec nos bureaux ou nos partenaires en Europe ». Quant au piratage potentiel de ses données, il le relativise : « Ça va, nous n’intervenons pas dans le secteur de la défense… »
Faire confiance au cloud, juste parce qu’il est connu
Un avis que partage, toujours dans le secteur du tourisme, Julien Chambert, DSI d’Avexia Voyages : « Oui, les données que nous stockons à présent chez Google sont sensibles car elles comprennent un grand nombre de commandes clients. Mais j’ai une grande confiance dans les capacités de sécurité de Google – qui a des responsabilités et une image mondiale à préserver. Je lui fais au moins autant confiance qu’à un petit hébergeur de datacenter privé, dont les processus seraient sans doute moins bons… », dit-il, en assurant appuyer ses dires sur ses propres mauvaises expériences.
La confiance règne. « Nous stockons dans le cloud de Salesforce des données sensibles, comme notre fichier client. Salesforce est l’un des leaders mondiaux du cloud. Il ne peut pas se permettre de défaillance, ni sur les performances, ni sur la sécurité ! » s’enflamme Franck Mouchel, le directeur d’Axa France Services. Au mieux, il entend tester une fois par an qu’il peut toujours récupérer ses données.
Et pourtant. Cet été, Salesforce est tombé deux fois en panne, à 15 jours d’intervalle. Google a connu des pannes importantes en avril et, de nouveau, en juillet. Dans les deux cas, les utilisateurs n’ont pas pu accéder à leurs données professionnelles pendant plusieurs heures. On ignore l’ampleur du manque à gagner.
Le cloud, une fatalité
Pour la plupart des DSI, il y a bien une peur de perdre ou de ne plus pouvoir accéder aux données au moment où il ne faut pas. Mais c’est une fatalité. « On fait surtout confiance aux prestataires pour être meilleurs que soi-même sur la conformité légale du stockage des données et sur la gestion de leur sécurité. Les services de cloud que nous utilisons sont peu stratégiques, même s’ils peuvent être confidentiels… Mais tout comme les données stockées sur les portables ou les mobiles », analyse ainsi Pierre Chavas, le responsable informatique de Prezioso-Technilor. Et d’ajouter : « Le prestataire dans lequel j’ai le moins confiance est mon logiciel en Saas de paie. C’est le service cloud qui héberge nos données les plus confidentielles. »
Pour Marcel Hayon, DSIT Communauté urbaine du Grand Nancy, on a beau être contre le nuage, on finit tôt ou tard par y passer. « Il y a environ douze mois, la question du cloud nous était déjà posée. J’avais répondu que l’offre ne me paraissait pas mûre du côté des hébergeurs et encore moins du coté de la DSI, où des nouvelles compétences devaient être acquises sur le sujet », se souvient-il. Pour lui, la sécurité des données relève bien de la responsabilité du DSI – et donc de l’entreprise – qui devrait gérer une perte de données ou une indisponibilité du système. « Toutefois, dans les mois qui ont suivi, plusieurs de nos applications informatiques ont été hébergées sur le cloud. Le besoin est venu à l’improviste et nous n’avions pas d’autre solution prête en interne », s’exclame-t-il ! Il cite des besoins en architectures complexes, des délais courts, des volumes de stockage trop importants. Marcel Hayon se fixe à présent comme objectif d’intégrer le cloud à sa politique de sécurité…, mais ce sera après coup.
Michel Ziegler, le directeur du GIE Icare qui prend en charge la DSI de plusieurs entreprises, n’avait pas non plus dans son planning de passer tout de suite au nuage. « Mais nous utilisons pourtant un service d’hébergement en cloud pour un SI que nous avons dû monter très rapidement. Le cloud était la seule solution pour bénéficier de la flexibilité et de la réactivité nécessaires. Cela dit, j’admets que je fais partie des 76% des entreprises françaises qui ne savent pas comment un hébergeur va protéger leurs données. »
Besoin urgent d’un nouveau cadre légal
Il y a aussi les irréductibles qui résistent à l’envahisseur. Frédéric Halimi, le DSI d’EADS Industries, en fait d’autant plus partie qu’il a suivi une formation de juriste : « Selon les contrats que l’on trouve actuellement sur le marché, un sous-traitant d’un fournisseur de cloud, ou encore l’entreprise qui rachète ce fournisseur, n’héritent pas de la responsabilité pour laquelle le client final a signé. Il faut revoir la législation et l’harmoniser à l’échelle européenne », dit-il.
Même son de cloche pour Ercole Gallacio, le DSI de Gamac/Picoty, qui n’a aucune confiance quant à la protection des données sur un nuage externe : « D’une part, même si les contrats prennent en compte tous les aspects liés à la sécurité, en cas de litige, il est impossible pour le client final de fournir la preuve qu’il n’a pas accès au système ! D’autre part, je me méfie de la concentration des bases de données dans les mains d’un hébergeur. Il est trop tentant de consolider les données de l’ensemble des clients à des fins d’exploitation commerciale », martèle-t-il !
