Peut-on faire confiance au Cloud Computing ?

Compte-rendu du colloque parlementaire du 24 juin 2010 - Assemblée nationale

 

Sous le haut-patronage de Nathalie Kosciusko-Morizet, Secrétaire d'Etat chargée de la Prospective et du Développement de l'économie numérique.

Présidé par Pierre Lasbordes, Député de l'Essonne.


Grâce au progrès technique et aux innovations, l’informatique a connu au cours de ces cinquante dernières années une véritable révolution. Selon Louis Naugès, co-fondateur de Revevol, tous les dix ans, des innovations de rupture ont déclenché une vague de profonds changements dans les usages de l’informatique, que ce soit en 1990 avec la démocratisation des ordinateurs ou en 2000 avec le boom d’Internet. Les années 2010 voient quant à elle l’avènement du Cloud Computing, « l’informatique dans les nuages », une avancée technologique fondée sur la virtualisation et qui permet à des utilisateurs d’accéder à distance à des applications ou à des capacités de stockage mutualisées.

 

Pour Pierre Lasbordes, député de l’Essonne et vice-président de l’Office Parlementaire d’Évaluation des Choix Scientifiques et Technologiques, le Cloud Computing est une innovation de rupture dans le paysage informatique actuel. Concept lancé en 2002 et repris progressivement par les principaux acteurs du monde IT, de plus en plus d’intérêt est porté au Cloud Computing. Il s’opère progressivement une véritable prise de conscience de la part des différents acteurs, même si en France peu de développements lui sont encore consacrés. Bien que le Cloud Computing marque l’avènement d’une ère nouvelle où l’utilisation des outils numériques sera optimisée et significative d’efficience et de progrès, les différents intervenants présents à ce colloque s’accordent à penser que le Cloud représente une évolution d’usage. Seul Louis Naugès voit dans le Cloud Computing une révolution, une revanche de l’infrastructure informatique.

 

Le 18 janvier dernier, lors de son discours sur le très haut débit et l’économie numérique, le Premier ministre, M. François Fillon, a insisté sur l’enjeu absolument majeur que représentait le Cloud Computing pour la compétitivité de nos économies, le développement durable et même pour la souveraineté de nos pays. Selon Bruno Ménard, président du CIGREF, le marché mondial du Cloud Computing avoisine les 60 milliards de dollars et il connaît une progression annuelle à deux chiffres. Néanmoins, l’Europe et la France sont largement derrière puisque le marché est estimé pour 2010 à 4,5 milliards d’euros. Loïc Rivière, délégué général de l’AFDEL, rappelle que le Cloud Computing est un des chapitres les plus importants du Grand Emprunt National et que celui-ci, en tant que « vecteur d’économie », devrait bénéficier d’un peu plus de 500 millions d’euros d’investissement. Alors, entre fascination et craintes, peut-on faire confiance au Cloud Computing ?

 

Qu’est ce que le Cloud Computing et quels avantages présente-t-il ?

 

Le Cloud Computing repose sur les technologies de mutualisation et de virtualisation des systèmes d’information. Ainsi les différentes ressources informatiques, que ce soient les logiciels, les plateformes de développement ou les infrastructures informatiques (stockage, puissance de calculs) sont virtualisées et accessibles via une connexion au réseau. Loïc Rivière souligne de ce fait le rôle de plus en plus stratégique d’Internet et des navigateurs.

 

Le Cloud Computing permet aux entreprises d’externaliser la gestion de leur parc informatique (serveurs et logiciels) à des sociétés spécialisées qui offrent la location à la demande de ressources matérielles et logicielles hébergées dans d’immenses datacenters. Il remet intrinsèquement en cause la centralité des systèmes d’exploitation au sein des systèmes informatiques. Désormais, les multiples ressources informatiques sont proposées à de multiples utilisateurs - clients en tant que services pouvant être utilisés à l’acte et payés en fonction de la consommation effective (paiement à l’usage), ce qui entraîne une très grande flexibilité des usages et permet de gagner en efficacité. Comme le rappelle Thierry Priol, directeur scientifique adjoint à l’INRIA, la virtualisation est « la technologie clé pour la dynamicité et l’élasticité des Clouds. »

 

 

Le Cloud Computing offre actuellement trois grandes catégories de services :

le segment IaaS (Infrastructure as a Service) qui fournit des infrastructures d’hébergement et qui repose sur la virtualisation des infrastructures techniques (réseaux, stockage de données, serveurs) ;

le segment PaaS (Platform as a Service) qui repose sur la standardisation des plateformes technologiques et qui fournit, en plus du segment IaaS, des services logiciels (bases de données et environnements applicatifs)  ;

le segment SaaS (Software as a Service) qui propose, en plus des segments IaaS et PaaS, la fourniture de services logiciels orientés métier ou technique (applications).

 

Selon Christophe Badot, directeur commercial chez Symantec, le développement du Cloud Computing reflète le mode de vie de plus en plus nomade de la génération digitale. On observe une tendance globale de la société au partage et à la mutualisation (peer-to-peer, réseaux sociaux...). L’exigence d’immédiateté assortie à la volonté de pouvoir accéder depuis n’importe quel lieu à n’importe quelles données renforcent la dynamique du Cloud Computing. Mutualiser les ressources pour mieux les rentabiliser, tel pourrait être le credo des défenseurs du nuage. En effet, alors qu’actuellement la majorité des serveurs sont sous-utilisés (seulement 30% de leurs capacités en moyenne), ce qui entraîne un véritable gaspillage de ressources et d’énergie, la création de « fermes de serveurs » permet d’augmenter le taux d’utilisation de ces ressources et d’améliorer leur rendement tout en réalisant des économies d’énergie (contribution bénéfique au développement durable et réduction de l’impact carbone).

 

Au niveau économique, le Cloud Computing repose sur un système novateur : un prix unique en fonction de l’utilisation, paradigme qui met ainsi fin aux coûts d’exploitation et de maintenance, mais également d’infrastructure et de licence. Bruno Ménard estime que les directions des systèmes informatiques (DSI) abondent en faveur du développement du Cloud Computing. Pour elles, le Cloud représente clairement une opportunité, aussi bien en termes d’agilité et de flexibilité, qu’en termes de réduction des coûts. En ces temps de crise, le caractère multi-tenant du Cloud, c’est-à-dire sa capacité à faire tourner plusieurs comptes clients sur un seul système permet la réalisation d’économies d’échelle substantielles. Le Cloud Computing réussit donc le difficile compromis entre rationalisation et personnalisation. Selon Louis Naugès, le caractère multi-tenant du Cloud présente un avantage indéniable puisque tous les clients disposent de la même et dernière version d’un programme tout en pouvant le paramétrer, l’adapter à leurs besoins spécifiques.

 

L’utilisation du Cloud Computing permet également d’améliorer grandement la scalabilité des systèmes d’information, les capacités de calcul et de stockage disponibles étant théoriquement illimitées, les montées en charge sont beaucoup plus simples et rapides à mettre en place. Mutualisation, souplesse d’utilisation, garantie de coûts inférieurs, élasticité de l’offre, meilleure gestion des ressources, amélioration de l’éco-responsabilité, le Cloud Computing présente de nombreux avantages, notamment en raison de la conjoncture économique. Qui plus est, le Cloud permet à des PME et à des TPE d’accéder à des technologies pointues dont elles n’auraient jamais pu assurer l’investissement global. Mais il ne faut pas résumer l’impact du Cloud Computing à sa dimension financière. La virtualisation et donc l’abstraction de l’informatique participe également à un renforcement de la sécurité et notamment à une amélioration de la sécurité des données, le vol d’un terminal n’engendrant plus une perte d’informations sensibles, celles-ci étant stockées dans le Cloud.

 

Selon Giles Hogben, expert auprès de l’ENISA, le Cloud permet, à investissement égal, de réaliser des économies en matière de sécurité tout en assurant une meilleure protection à ses utilisateurs. Les serveurs du Cloud sur lesquels sont hébergées les données sont mieux sécurisés et plus résilients aux attaques, notamment en raison de l’existence de techniques de réplication. De plus, le taux de défaillance des serveurs est quasi-inexistant.

 

Néanmoins, comme le rappelle Pierre Lasbordes, le Cloud Computing doit faire face à une appréhension légitime. Il soulève de nombreuses questions, aussi bien d’ordre juridique, sécuritaire que d’aménagement du territoire mais au-dessus de tout se posent les questions cruciales de confiance et de légitimité.

 

Les risques liés au Cloud Computing

 

Même si le développement du Cloud Computing reçoit le soutien de la totalité des intervenants, nombreux sont ceux qui estiment que le stockage de données au sein du nuage ou l’utilisation de ses services ne sont pas exempts de tout risque. Certes, comme le souligne Giles Hogben, la plupart des risques ne sont pas nouveaux, néanmoins, en raison de la concentration des données que permet le Cloud, la valeur des ressources qui pourrait être affectée en est de facto plus élevée. La gestion des accès aux ressources du Cloud peut également représenter un risque pour l’entreprise, ce qui exclut par conséquent certaines fonctions stratégiques pour lesquelles l’externalisation de données ne peut être autorisée.

 

Plusieurs points de vigilance sont donc à observer et ce à divers niveaux. Le premier concerne la perte de gouvernance, le client cédant au fournisseur le contrôle de plusieurs questions relatives à sa propre sécurité. Sur cette question, Giles Hogben s’inquiète du fait que les acteurs du Cloud n’autorisent pas la réalisation de tests d’intrusion car selon lui, les failles de sécurité sur les plateformes des principaux acteurs du Cloud sont bien présentes. Thierry Priol abonde dans ce sens car pour lui virtualisation ne signifie pas isolation, l’étanchéité des machines virtuelles n’étant pas garantie dans un Cloud. De plus, la majorité des données transitant au sein d’un nuage ne sont pas cryptées.

 

La question de la réversibilité, en raison de l’accroissement de l’empreinte des services demandés à l’extérieur, est le deuxième point sur lequel il faut se focaliser. Pierre Lasbordes estime qu’il est inacceptable que les entreprises soient otages des fournisseurs. Il est essentiel d’améliorer la possibilité de passer d’un fournisseur à un autre car actuellement, les outils et les procédures pouvant garantir la portabilité des données sont quasi-inexistants. Le choix du fournisseur, qui doit être le fruit d’une réflexion entre les différents métiers de l’entreprise, doit également prendre en compte, dès le départ, les clauses de sortie. Le marché du Cloud Computing n’étant pas encore mature, il faut s’assurer au mieux de la pérennité du fournisseur choisi. La question de la portabilité est donc à rapprocher de la question de la continuité de l’offre de services.

 

La réactivité du fournisseur en aval ou la qualité de service est le troisième point à ne pas négliger. En effet, sans accès au réseau, une entreprise perd une grande partie de son outil de travail, il est donc crucial que les services offerts par le Cloud et les données qui y sont stockées soient accessibles et opérationnelles à tout moment. Le cas de défaut du service est souvent traité par les fournisseurs au travers de garanties contractuelles sur la qualité du service rendu. Benoît Louvet, avocat au Barreau de Paris, insiste sur ce point. Pour lui, cette question de qualité de service ne vaut que si les parties peuvent sanctionner cette performance. Ainsi, il conseille aux utilisateurs de services Cloud de contractualiser au maximum les questions de sécurité, de traçabilité et de restitution des données.

 

Selon Pascal Lointier, président du CLUSIF, la concentration IT induit des problèmes de sécurité physique. Bien souvent, ce sont uniquement des pannes, soit un ensemble de problématiques très conventionnelles qui se produisent (incendies, inondations...) et non des attaques sophistiquées. Néanmoins, elles peuvent être très paralysantes en cas, par exemple, d’échec des mécanismes d’isolement. L’infrastructure télécom est donc plus que jamais au cœur des performances offertes par le Cloud Computing. À cet égard, Christophe Badot rappelle qu’il est essentiel d’intégrer les questions de sécurité en amont des projets Cloud et ce, afin d’éviter des coûts quinze fois supérieurs à une implémentation en fin de projet.

 

 

Enfin, la confiance étant une question primordiale, le point de vigilance majeur concerne les risques juridiques et contractuels. Isabelle Falque-Pierrotin, vice-présidente de la CNIL, s’interroge tout d’abord sur la question du traitement. Si le client est un particulier, au regard de la loi informatique et libertés de 1978 (loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés), il ne peut être responsable du traitement, ce sera donc son prestataire. En revanche, si le client est une entreprise, la responsabilité de traitement n’est pas évidente. En effet, une entreprise est obligatoirement responsable du traitement des données, toutefois, selon les conditions du contrat, le prestataire peut également être responsable. De plus, comme le rappelle Giles Hogben, il est potentiellement difficile pour le client (responsable du traitement) de vérifier les pratiques de traitement des données du fournisseur.

 

Le deuxième point soulevé par les juristes est la question de la loi applicable, les serveurs étant répartis dans le monde entier, les critères de rattachement posent actuellement problème. Le transfert des données est le troisième aspect à prendre en compte. En cas de transfert vers des pays tiers, le responsable de traitement doit fournir la preuve que le transfert offre des garanties de sécurité sur le plan juridique. De ce fait, les transferts de données en dehors de l’Union Européenne apparaissent peu probables car difficilement gérables compte tenu des outils juridiques existants. Henry Crémadès, directeur général de STS Group, s’interroge, en réponse à cette problématique, sur le possible avènement en France d’un « glocal » Cloud Computing. Les grandes entreprises peuvent toutefois avoir recours à des clauses contractuelles types ou, en cas de transferts intra-groupes, à des règles internes (Binding Corporate Rules). Isabelle Falque-Pierrotin revient également sur la question du droit des personnes et plus spécifiquement du droit à l’oubli.

 

L’Agence Européenne chargée de la sécurité des réseaux et de l’information a mis en place une base minimale pour comparer les offres de service Cloud, à savoir, évaluer les risques liés à la transition vers le Cloud, réduire la charge d’audit et diminuer les risques pour la sécurité. De son côté, la Commission Européenne, comme le rappelle Valérie Andrianavaly, met en œuvre de nombreuses initiatives pour améliorer la qualité intrinsèque du réseau et ainsi augmenter la confiance des utilisateurs.

 

La question de la confiance et l’absence de cadre juridique légal adéquat peut être un frein au Cloud Computing. Toutefois, selon Henry Crémadès, la question de la confiance est largement réglée depuis 1999 et l’adoption du texte européen donnant la même valeur juridique à un document informatique et à un document papier. La question concerne essentiellement les garanties autorisant l’authentification des acteurs et porte sur les solutions technologiques qui permettent de pérenniser la confiance.

 

Le Cloud Computing est-il l’informatique du futur ?

 

Certains intervenants sont réservés quant au développement exponentiel des services Cloud dans les années à venir. Mais, pour Louis Naugès, le Cloud Computing est l’informatique de la décennie 2010. Opposer le principe de précaution au développement du Cloud Computing en France se résume à de l’inaction. D'ailleurs, comme le souligne Pierre Lasbordes, il y a une réelle prise de conscience de la classe politique française vis-à-vis du Cloud Computing. Les barrières psychologiques s’estompent. Plusieurs pays, agences gouvernementales ou organisations publiques ont déjà adopté le Cloud pour des applications non critiques. Christophe Badot estime que si la maturité des entreprises et des administrations n’est pas suffisante pour passer au Cloud, le passage par une étape intermédiaire, celui de la virtualisation, pourrait faciliter plus aisément la transition vers le nuage.

 

Le marché du Cloud Computing est actuellement dominé par les Etats-Unis et il est impossible que la France seule puisse peser. L’angle national étant trop restreint, il est nécessaire de privilégier une approche européenne pour le développement du Cloud et que la France unisse ses forces à celles des autres pays européens. Le Cloud Computing est un marché mondial pour les grands acteurs internationaux, et dont le ticket d’entrée tourne autour du milliard de dollars. S'y investir deviendra de plus en plus difficile. Le développement des offres françaises proposées par Orange, Thales ou Dassault Systèmes peine à rivaliser avec celui des offres américaines.

 

L’absence de la France et de l’Union Européenne est très préoccupante, d’autant plus que le Cloud va profondément modifier le marché IT en termes de fournisseurs et d’éditeurs. L’Europe, qui dispose d’un véritable savoir-faire en matière de logiciels, peut encore espérer gagner sur le marché des usages et des applications SaaS. La condition ? Une politique hyper-volontariste.

Contribution 01
Présentation de l'intervenant: 

Louis Naugès

Société Revevol

Contribution 02
Présentation de l'intervenant: 

Valérie Andrianavaly

Commission Européenne

Contribution 03
Présentation de l'intervenant: 

Giles Hogben

ENISA

Contribution 04
Présentation de l'intervenant: 

Pascal Lointier

CLUSIF

Contribution 05
Présentation de l'intervenant: 

Benoit Louvet

Avocat au Barreau de Paris

Contribution 06
Présentation de l'intervenant: 

Bruno Ménard

CIGREF

Contribution 07
Présentation de l'intervenant: 

Henri Crémadès

STS Group

Contribution 08
Présentation de l'intervenant: 

Thierry Priol

INRIA

Contribution 09
Présentation de l'intervenant: 

Loïc Rivière

AFDEL