Cloud-Computing et Intelligence Economique et Concurrentielle (IEC) : des approches stratégiques complémentaires.

Fabrice Pasquer

Avril 2012

www.fapaas.fr

www.apiec.org

Le Cloud Computing et l’Intelligence Economique et Concurrentielle (IEC) sont deux tendances de fond qui s’opposent, d’une part si on en juge par le nombre d’articles affichant les faiblesses liées à la sécurité des données dans le domaine du Cloud, et d’autre part du fait des « réticences » à utiliser des plates-formes de sociétés américaines pouvant à tout moment être « pillées » par les autorités US sous couvert du Patriot Act.

Pourtant le Cloud Computing est aujourd’hui le marché le plus dynamique en France, en Europe et dans le monde. Il affiche un taux de croissance annuel moyen de près de 30% jusqu’en 2015 (1). Il est jugé par les entreprises comme la plus importante transformation à réaliser pour flexibiliser leur informatique et en diminuer les coûts.  Pour les Etats, on parle même du Cloud Computing comme un enjeu de souveraineté nationale. C’est désormais l’une des 5 priorités IT de la commission Européenne. En France, l’Etat est prêt à y insuffler une allocation potentielle de plus de 700 millions d’euros dans le cadre du grand emprunt. L’administration britannique, quant à elle, veut économiser 3,2 milliards de livres dans son budget informatique au cours des 10 prochaines années et a lancé, pour ce faire, son projet G-Cloud.

L’intelligence économique et concurrentielle (IEC) devient également une clé de voûte de la stratégie des entreprises quelle que soit leur taille (2). Nos grandes entreprises ont depuis longtemps compris et intégré les enjeux de l’IEC et se doivent d’y rester très attentives. La sensibilisation de nos PME est plus récente mais c’est devenu l’une des priorités de l’Etat, en témoigne le nombre d’actions de formation et de sensibilisation organisées par les chambres de commerce et les collectivités territoriales ces derniers mois et les publications sur ce thème en provenance des différents ministères. L’étape suivante est la mobilisation de tous les individus. L’obligation d’enseignement de l’intelligence économique en France en est la meilleure preuve.

Nos entreprises vont donc devoir s’organiser pour vivre avec ce dilemme et pour bénéficier des avantages du Cloud sans pour autant « partager » avec la concurrence leurs données stratégiques.

Cloud Computing et IEC : des orientations en matière de sécurité des données qui dépendent des entreprises et du contrat signé avec le fournisseur

Dans un premier temps, nous reviendrons brièvement sur la problématique de la sécurité des données dans le Cloud Computing en se posant la question suivante : « Les données sont elles mieux protégées sur le Cloud que sur les serveurs d’une entreprise ? ». Nous soulignerons ensuite l’importance d’une relation contractuelle très complète, à l’image des contrats d’infogérance, qui permet de décrire et « d’écrire » tous les mécanismes et les contrôles attendus. Protéger ses données pour éviter qu’elles soient accessibles à la concurrence, c’est bien entendu de la technologie mais aussi des relations contractuelles plus structurées dont il s’agit.

Tout d’abord quelques faits qui semblent opposer le Cloud Computing et l’IEC. L’une des faiblesses perçues du Cloud Computing reste en effet la sécurité des données. C’est le cas pour presque 50% des personnes interrogées dans l’étude PAC « Le Cloud Computing en France » (3). Si la numérisation des données et leur mise en ligne les rend virtuelles, elles n’en sont pas moins présentes sur des supports physiques pour le traitement et le stockage rassemblés dans les bâtiments des sociétés les hébergeant.

Si on prend le point de vue de l’IEC, la protection de l’information stratégique est un sujet de réflexion majeur. L’une des préconisations est du reste de traiter et stocker les données confidentielles sur des environnements non connectés au réseau… difficile donc de concilier les points de vue…

La sensibilisation à la vulnérabilité des Systèmes d’Informations (SI) des PMEs est au cœur des préoccupations de l’IEC. Une question fait encore débat : les données sont elles mieux protégées sur le Cloud que sur les serveurs d’une entreprise ? La question peut se poser dans le cas des PMEs ou d’entreprises de taille plus importante selon le niveau de sophistication des systèmes de sécurité déjà en place (dans les faits souvent proportionnels à la taille de l’entreprise). En effet, les PMEs ont des difficultés à identifier, mettre en œuvre et maintenir à jour des solutions techniques de sécurité des données (intégrant la confidentialité, l’intégrité et la disponibilité). Ces solutions restant également complexes et coûteuses tant en termes de CAPEX que d’OPEX.  L’utilisation de solutions SaaS (Software as a Service) va permettre d’utiliser les solutions de sécurité de l’éditeur ou des fournisseurs de services d’infrastructure IaaS (Infrastructure as a Service) tout en optimisant la trésorerie (autre sujet critique des PMEs), le cryptage des données restant une quasi-obligation.

Pour les entreprises de tailles plus importantes, la réflexion va davantage se poser en termes d’exigences et il est bien connu qu’on est souvent plus exigeant pour autrui que pour soi même.

Un critère principal va être de sélectionner et de contractualiser avec des fournisseurs qui assurent notamment une totale transparence sur les mesures de sécurité mises en œuvre, la gestion des sauvegardes des données, et les reprises en cas de panne.

Positionner ces données dans une infrastructure Cloud nécessite d’engager avec le fournisseur une démarche contractuelle similaire à celle réalisée dans les contrats d’infogérance (bien à l’opposé des « click contrats » du marché internet). En effet l’infogérance est un service défini comme le résultat d’une intégration d’un ensemble de services élémentaires, visant à confier à un prestataire informatique tout ou partie du système d’information (SI) d’un client, dans le cadre d’un contrat pluriannuel, à base forfaitaire, avec un niveau de services et une durée définie (4). Sa mise en œuvre passe par la description précise et exhaustive des engagements associés aux exigences du service attendu. Cette description s’inscrit dans les très nombreuses clauses à intégrer dans un contrat de ce type : propriété intellectuelle, confidentialité des données, résiliation , réversibilité,  benchmark,  SLA, pénalités, droit applicable, gestion des litiges, gouvernance, responsabilité, audit, sous-traitants du prestataire,… Ce sont exactement les mêmes clauses qu’il faut intégrer dans un contrat de Cloud Computing. C’est sans doute d’ailleurs une des raisons pour lesquelles les DSI ayant déjà externalisé des services IT  auprès de fournisseurs reconnus ont moins de craintes à utiliser des services Cloud. Néanmoins, comme le précise l’ANSSI (5), il est plus facile de maitriser les risques dans un cadre d’infogérance que dans le cadre du Cloud en particulier sur les points suivants :

  • la multiplicité possible des intervenants et la cascade contractuelle qui en découle,
  • l’identification très stricte des lieux d’hébergement qui doivent respecter les obligations légales et réglementaires ainsi que les exigences de sécurité,
  • le respect des obligations légales spécifiques aux données à caractère personnelles
  • des choix techniques conformes aux exigences de sécurité
  • l’assurance quant à la réversibilité des données et la garantie du nettoyage complet des données sur les sites opérationnels et sur les sites de sauvegarde…

Cloud Computing et IEC : des enjeux politiques

Abordons maintenant un aspect plus politique : tous les Etats font aujourd’hui une promotion très engagée de l’intelligence économique et concurrentielle auprès de toutes les entreprises et administrations. Le Premier Ministre a encore récemment exprimé l’action de l’Etat en matière d’intelligence économique au niveau des administrations centrales et des services déconcentrés (circulaire du 15 septembre 2011 (6)). Il y est bien précisé l’importance de sa contribution  pour limiter les vulnérabilités et encourager les actions de formation et de sensibilisation des acteurs.

En parallèle de ces actions et sur le sujet du Cloud Computing, l’Etat se positionne comme un acteur déterminé dans la mise en place de solutions Cloud « locales » tant au niveau de l’implantation des DataCenters que de la nationalité des entreprises qui vont offrir les services de Cloud.

En France c’est dans le cadre de la loi de finances rectificative pour 2010 (7) relative aux investissements d’avenir qu’est précisé le projet de développement de l’informatique en nuage (« cloud computing »). Il est décrit comme un enjeu majeur « en termes de compétitivité, d’innovation et de souveraineté ». L’investissement prévu dans ce cadre concerne « une infrastructure composée de grandes centrales numériques de calcul et de stockage, afin de développer rapidement une alternative française et européenne dans un secteur en plein essor, qui est aujourd’hui largement dominé par des acteurs nord-américains ». L’enveloppe budgétaire est de plus de 700M€  qui devrait être majoritairement allouée sous la forme de prises de participation et/ou prêts dans une société privée à capitaux mixtes publics-privés. Sur ce sujet, les réponses aux appels d’offres de différents consortiums sont actuellement à l’étude. Le projet appelé Andromède regroupant Orange et Thalès est un sérieux candidat, même si Dassault Systèmes a préféré sortir du consortium et proposer une autre alternative.

Il est vrai que la France est une zone attractive (8) pour installer du Cloud : sa position géostratégique, son important marché accessible, la réglementation de la CNIL, de l’énergie peu chère, de bons réseaux télécoms…

Une sorte de protectionnisme se met donc en place pour garantir aux entreprises des services performants associés à la sécurité de leurs données et éviter que sous prétexte de lois de type Patriot Act, les données stratégiques puissent changer de mains trop facilement. Pour rappel, le gouvernement américain peut exiger que des données stockées ou manipulées sur des plate-formes Cloud situées en Europe et appartenant à des sociétés américaines (qu’elles soient ou non basées aux US) soient transmises aux autorités US. Ceci peut avoir de réelles implications. A titre d’exemple, en juin 2011 la société américaine Microsoft a admis quelle pouvait être amenée à fournir des données aux autorités américaines sans en informer les clients, même si les données étaient stockées en Europe. Un message difficile à faire accepter par les clients… outre Atlantique, on dit que le Patriot Act est mal interprété à dessein pour bloquer le marché… En tout état de cause le Patriot Act gène les acteurs du Cloud Américain (9). La Maison Blanche a saisi le dossier pour engager des échanges diplomatiques avec plusieurs pays d’Europe et d’Asie faisant suite à une demande de plusieurs fournisseurs réunis.

Ce protectionnisme risque de se généraliser : déjà certaines administrations américaines imposent dans leurs cahiers des charges des restrictions quand à la localisation des centres de données sur lesquels s’appuient les services cloud achetés.

Sans doute que ces grandes manœuvres sont plus stratégiques encore et que les états considèrent aujourd’hui comme une priorité de garantir à nos entreprises et administrations ces services et cette sécurité de manière locale et donc maîtrisée.  En introduction de la loi de finances rectificative pour 2010 il est du reste bien précisé que : « Le fait d’avoir ses données stockées sur des serveurs étrangers ou de pays tiers n’est en effet pas sans conséquences potentielles sur leur degré de sécurisation, en particulier pour les plus sensibles, qu’elles soient de nature personnelle ou qu’elles relèvent de la confidentialité politique ou du secret industriel. »

Sans doute également que le Cloud Computing pouvait laisser présager qu’à terme, un ou deux grands fournisseurs mondiaux pourraient abriter toutes les données de toutes les entreprises…

Signer des contrats avec des sociétés françaises reconnues, garantissant le stockage et le traitement des données en France sur des infrastructures dont elles sont propriétaires est sans doute un bon garde-fou. Mais est ce que confiner ces informations en France répond à toutes les exigences de sécurité ? Et surtout dans le monde Internet d’aujourd’hui, sur lequel repose toute la logique et la puissance du cloud computing, est-ce la bonne conclusion ?

Références :

Informations concernant l’auteur :

Télécharger l’article : Article


 

3 réponses à to “Cloud-Computing et Intelligence Economique et Concurrentielle (IEC) : des approches stratégiques complémentaires.”

  • http://www.suite-entreprise.frLe Cloud Computing est incontestablement un axe d’intérêt pour les DSI. Pour autant, avant de se lancer dans un tel projet, il convient de prendre en compte un certain nombre de points clés. En effet, mettre en œuvre un projet Cloud, IaaS, PaaS, etc, ne s’improvise pas et doit être préparé dans une logique industrielle.

  • Merci pour cet article qui aborde un thème important.

    Sur le fond, je suis de plus en plus persuadé que les grands acteurs industriels et sérieux du Cloud, Amazon, Google, IBM .. sont capables de mieux protéger les données que les entreprises, même les plus grandes. L’incident récent subi par Areva est là pour le montrer.
    L’idée de la géolocalisation des données est souvent un alibi car tous les pays ont leur Patriot Act, y compris la France.

    La bonne réponse est probablement d’utiliser le Cloud au maximum, pour des raisons évidentes de compétitivité, de réduction des coûts et de sécurité. Il se peut que 0, 001 % des données aient vraiment besoin d’être hyperprotégées ; dans ce cas, l’utilisation de ressources informatiques non connectées ou de solutions « papier » peut être la réponse pragmatique la meilleure.

    La peur du Cloud, que j’appelle « Néphophobie », est naturelle car c’est la peur initiale devant toute nouveauté ; le nombre de personnes qui avaient peur de prendre l’avion il y a 50 ans est supérieur à ce nombre aujourd’hui. Le même phénomène va se produire avec le Cloud et l’immense majorité des entreprises vont vite comprendre, d’ici la fin de cette décennie, que le Cloud est de loin la solution la plus sure.