Sortir du cloud ou de la réversibilité et de l’interopérabilité

Compte rendu d’un atelier organisé par l’ADIJ le 3 mars 2011

Après avoir présenté le concept de cloud computing, évalué l’impact contractuel de cette pratique, mis l’accent sur la question des données personnelles, puis sur celle de la sécurité, ce cinquième atelier de l’Association pour le développement de l’informatique juridique (ADIJ) était consacré à la réversibilité et à l’interopérabilité, deux aspects essentiels pour sortir d’un système informatique, quel qu’il soit,  dans de bonnes conditions.

Pour découvrir les standards du cloud computing, thème abordé lors de cet atelier, consulter un article récent du Monde informatique, comme le préconise le blog de l’atelier Cloud Computing de l’ADIJ

De quelques considérations utiles

Si le cloud devait représenter une révolution par rapport à l’infogérance, gestion classique d’un service informatique par une entreprise extérieure, celle-ci serait surtout, voire uniquement, de nature économique. Le cloud est indéniablement une solution moins coûteuse, plus souple aussi ajouterai-je – et  ces deux éléments sont étroitement liés – mais, et nous rejoignons le thème de l’atelier, cet avantage disparaîtrait s’il devait y avoir une dépendance totale de l’entreprise face à son fournisseur.

A côté de l’intégrité et de la confidentialité, la disponibilité des données permettant d’assurer la continuité d’un service doit être perçue comme un élément de la sécurité[1]. Les critères de réversibilité et d’interopérablité répondent précisément au souci de disposer à tout moment de ses données.

Cloud public, privé ou hybride ? Contrairement aux entreprises américaines, les entreprises européennes, frileuses, craignent de s’engager dans le cloud public, bien que l’engagement sur la disponibilité des données dans le cloud public y soit très fort. Mais il est vrai que le cloud public répond de manière moins satisfaisante au souci du respect de l’intégrité des données, encore moins à l’obligation de confidentialité. S’orienter vers le cloud privé, ces lignes dédiées avec de meilleures garanties de services ? Certes, mais les risques ne sont pas les mêmes selon que le cloud se trouve avant ou après le pare-feu de l’entreprise, et l’on note aussi une tendance à s’orienter vers des solutions hybrides cloud public/cloud privé, sans doute pour optimiser les avantages économie /sécurité, et combler ainsi le hiatus entre les attentes des services achats et celles des services informatiques des entreprises

Il serait utile, mais sans doute un vœu pieux, d’exiger de savoir avec qui l’on cohabite sur le serveur (data center) pour évaluer l’importance des risques encourus. Comme la mutualisation informatique existait bien avant le cloud, cette remarque confirme que le cloud n’est que le révélateur de questions anciennes, touchant aussi aujourd’hui des cercles plus larges que les directeurs de services informatiques (DSI)

« Faire le ménage » en amont dans les données » s’impose car dans les faits seule une petite partie d’entre elles s’avère être réellement sensibles[2] et nécessiter une attention particulière. Il serait fâcheux que l’existence de ces quelques données délicates empêche les entreprises de bénéficier des avantages du cloud

De manière générale, il faut engager une réflexion sur ce dont l’entreprise a réellement besoin et sur les risques réellement encourus.

De quoi parle-t-on ?

Si l’on veut sortir du cloud dans de bonnes conditions, non pour revenir au passé, ce qui est inenvisageable[3], mais pour se diriger vers un autre système ou un autre prestataire, « les offres doivent être interopérables, réversibles et reposer sur des standards ouverts », souligne le Cigref.

L’interopérabilité et la réversibilité sont donc bien des notions distinctes, mais toutes deux étroitement liées aussi à la sécurité, thème développé lors de l’atelier précédent.

  • Des normes en matière d’interopérabilité ?

L’interopérabilité est « la  capacité que possède un produit ou un système dont les interfaces sont intégralement connues à fonctionner avec d’autres produits ou systèmes existants ou futurs » (wikipédia). Il convient donc de surveiller les l’initiatives prises en matière de normes puisque l’enjeu est de définir une norme ou un ensemble de normes que chaque prestataire va implanter dans son propre fonctionnement pour favoriser l’interopérabilité.

Mais la norme donne des assurances sur les moyens mis en œuvre pour garantir la sécurité et non, comme l’entendent les entreprises, sur un résultat. Par ailleurs, à ce jour l’interopérabilité dans le cloud n’a pas encore fait l’objet de normes mais uniquement d’initiatives  (Open Cloud manifesto, Open Cloud Incubator, Open Cloud Consortium) visant à définir de bonnes pratiques. Dispersées et réalisées sans les acteurs majeurs du secteur, leur impact n’a pas encore été décisif.

Les normes vont-elle compliquer ou régler la question ? Représentent-elles un garde fou au même type que les contrats-type que les entreprises privilégient volontiers ? Quels processus entamer pour la mise au point de nouvelles normes ? Autant de questions qui semblent encore ouvertes.

  • Une formalisation pour la réversibilité

La réversibilité est la possibilité de revenir à une situation ou une organisation antérieure viable. Elle permet d’éviter une situation de blocage sans possibilité de retour, ou de dépendance à l’égard d’un prestataire unique (un risque jugé plus important dans le cloud que dans le cadre d’une infogérance). L’enjeu, ici, est de concevoir et de formuler les mécanismes de la réversibilité.

Transférabilité plutôt que réversibilité. Il s’agit de sortir, non pour revenir en arrière, mais pour aller ailleurs. La transférabilité consiste à favoriser le passage d’un prestataire à un autre, à obliger un prestataire à s’entendre avec un autre prestataire, même voire surtout s’il s’agit d’un concurrent.

Mais qu’il s’agisse de réversibilité,  au sens d’une réinternalisation, ou de transfert vers un autre acteur, la question rejoint  la notion d’interopérabilité. Elle rejoint aussi le souci de disponibilité puisque si l’on a besoin de ses données, l’objectif ne consiste pas à les récupérer en interne, même si un opérateur a tenu à rappeler que la meilleure garantie en matière de réversibilité et de disponibilité était de garder une copie de ses données « chez soi ».

Pour s’assurer de la réversibilité du processus, on ne réalise généralement pas un état des lieux de l’existant, mais l’on prévoit une clause de réversibilité dans les contrats, accompagnée d’un plan de réversibilité détaillé dans l’une de ses annexes et ce dès la signature du contrat.

Les questions à se poser

Dans la batterie de questions, dont les réponses ne m’ont pas semblé toujours simples à apporter, on note : est-il plus difficile de changer de prestataire de service cloud ?  Quelle durée et quel mode de renouvellement du contrat adopter ? La réversibilité est-elle technologique ? Y a-t-il un risque lié à l’absence d’interopérabilité ? Quels aspects spécifiques du cloud doit-on prendre en compte ? Quel impact sur la problématique juridique existante, dans le cadre contractuel ou réglementaire ? Quelles précautions supplémentaires  à prendre ?

Il est intéressant de noter que les difficultés ne sont pas les mêmes selon l’endroit du cloud (Paas, Iaas, Saas)[4] où l’on se trouve, et que les difficultés étaient plus grandes dans le cadre du Paas, celui des plateformes de développement étant le marché permettant de contrôler plus facilement le client, mais bien moindres dans le cadre du Saas, celui des logiciels.

Qu’il faille être vigilant sur les outils, les normes et les standards utilisés par le fournisseur permettant d’assurer l’interopérabilité, et contrôler les processus mis en œuvre par celui-ci pour garantir à tout moment la réversibilité, était une remarque attendue. Mais on a souligné aussi qu’il était difficile de définir les techniques et leur coût, et d’obtenir ainsi les informations nécessaires pour organiser la réversibilité, en raison de la difficulté à anticiper les évolutions et de la rapidité de ces évolutions techniques et économiques qui agitent ce marché émergent pour les entreprises (le B to B étant le seul aspect abordé dans cet atelier).

La portabilité des données ?

Si des normes définies par décret existent pour les données publiques, ce ne serait pas le cas dans le secteur privé. Si les formats sont définis, les données de paramétrage et les données relationnelles, éléments essentiels, présenteraient de réelles difficultés [5].

Il était intéressant de porter un regard vers le secteur des télécommunications où l’on dispose d’une norme qui assure aujourd’hui la portabilité de l’ensemble des données, permettant ainsi de garder son numéro de téléphone après avoir changé d’opérateur.

Or la portabilité pourrait être obtenue rapidement pour le cloud aussi puisque l’informatique est à un point de maturité, ce qui permettrait de changer rapidement de prestataire, sans avoir besoin d’une  clause de réversibilité, dès lors que le secteur est totalement normé. Mais la norme fait-elle « sauter » le risque de la réversibilité ? Le débat était lancé, notamment au regard de l’évolution rapide des techniques, du coût de la portabilité  ou encore  des formats libres.

Illustr. An exhaust cloud engulfs Launch Pad 39A at NASA’s Kennedy Space Centre in Florida as space shuttle Endeavour lift). NASA/Sandra Joseph and Kevin O’Connell. 2010.  Public Domain Wikimédia Commons


Notes

[1] Même si, à la lumière des discussions soulevées à cet égard, le consensus sur le fait de savoir si  la disponibilité des données fait partie des critères de sécurité  n’est pas encore tout à fait acquis.

[2] S’il est important de savoir où se trouvent physiquement les données, on peut envisager  de marquer les données ou les paquets de données, une solution qui peut être imposée par une clause contractuelle.

[3] « Plus aucune entreprise qui aura tâté du Cloud ne reviendra en arrière » avais-je noté lors du premier atelier de l’Adij

[4] Infrastructure as a service  (Iaas)  pour gérer son parc informatique à distance,  Software as a service (Saas) pour des services web permettant d’accéder à ses données et de les modifier et Platform as a service (Paas) pour des plateforme de développement.

[5] La normalisation des données, un aspect que je ne suis pas certaine d’avoir pu comprendre et pour lequel des commentaires sont attendus.

2 comments

  1. lryo dit :

    Travaillant au quotidien dans l’interopérabilité, je trouve cet article très intéressant.

    Merci du partage de l’information

  2. Kobé dit :

    Merci. Je dois avouer que c’est la richesse des échanges d’expérience réalisés au cours de ces ateliers de l’Adij qui permet d’alimenter cette rubrique.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *