Fermer la publicité
Journal d'information juridique et d'annonces légales

La compliance peut-elle être perçue comme une barrière à l'adoption du cloud computing ?

le - - Entreprise - Vie des entreprises

La compliance peut-elle être perçue comme une barrière à l'adoption du cloud computing ?
© DR

La compliance ne tue pas le cloud computing, mais oblige à changer son approche

L'intérêt grandissant du cloud computing pour les entreprises

Le principal avantage de l'utilisation de la plate-forme de cloud computing est que les propriétaires de données peuvent profiter de l'apparence centralisée des données avec leurs employés qui sont autorisés à l'explorer et/ou à la modifier. Les informations relatives à plusieurs projets provenant de différents départements, business units, établissements ou filiales sont stockées dans un seul emplacement de cloud auquel on peut accéder à partir de n'importe quel endroit, par le biais d'une simple connexion à Internet.

Fondamentalement, le cloud computing peut être divisé en trois groupes principaux : « Infrastructure as a Service » (IaaaS) – Infrastructure en tant que service, « Platform as a Service » (PaaS) – Plateforme en tant que service, et enfin « Software as a Service » (SaaS) – Logiciel en tant que service. Ces produits s'adressent à des utilisateurs correspondant à des segments de marché différents, tels que ceux ayant besoin d'un espace de collecte partielle de données, ceux qui recherchent un produit de test de système ou encore ceux ayant besoin d'un produit pour un déploiement complet sur l'ensemble de leurs processus-métier. Le cloud peut également être distingué selon que son hébergement est public ou privé. Le cloud public signifie que les utilisateurs doivent partager des ressources avec des centaines ou des milliers de personnes, alors que les solutions de cloud privé sont conçues pour une organisation ou une entreprise spécifique et disposent souvent de contrôles de sécurité plus adaptés que le cloud public. De nombreuses entreprises, quels que soient leur taille et leur type, prévoient de recourir au cloud public, et d'y déplacer leurs ressources en fonction de la promesse d'un prix abordable.

On peut ainsi penser que le cloud computing public, qui devrait croître rapidement (2 à 3 fois le marché privé), est idéal - au moins dans un premier temps - en particulier pour les start-ups et les petites entreprises qui manquent d'infrastructure informatique et de ressources pour d'autres types de maintenance générale. De la même manière, les grandes entreprises et, plus généralement, toute entreprise, pourraient effectivement récolter les fruits de son adoption. En bref, le traitement d'innombrables données sans l'installation d'une infrastructure sur site ou d'un cloud privé sur site pourrait réduire les coûts d'exploitation en termes d'électricité, de climatisation et de frais administratifs. De manière cohérente, les frais de service sont basés sur la demande et l'utilisation réelles ; ils sont comparativement moins élevés que le développement d'un stockage physique de données et le lancement d'un système interne propre à l'entreprise.

Toutefois, il existe quelques inconvénients à s'appuyer sur des solutions de cloud. En effet, les business process pourraient être temporairement suspendus en raison d'une quantité énorme d'utilisateurs et des limites de bande passante de l'Internet. Pour le cloud computing, une connexion Internet ininterrompue est indispensable pour accéder à vos précieuses données. Outre les limites techniques, et même si les fournisseurs de services de cloud mettent en œuvre les meilleures normes de sécurité, le stockage des données à l'extérieur - en particulier dans les clouds publics - présente un risque dont les entreprises doivent être pleinement conscientes avant d'adopter tout service de cloud public, et qu'elles doivent évaluer à l'aune des risques internes et de la compliance.

Les défis de l'adoption du cloud computing

Lors du transfert d'opérations vers le cloud, les clients du cloud perdent un certain contrôle sur les politiques et l'infrastructure. Pour envisager de déplacer une base de données importante du stockage interne vers un autre endroit, il est essentiel que ces utilisateurs examinent de près la façon dont les données seront conservées, et identifient le niveau de sécurité promis par le fournisseur de service de cloud afin d'évaluer les risques et de s'assurer le niveau souhaité en termes de compliance réglementaire.

Il est tout aussi important de noter que les fournisseurs de service de cloud pourraient accepter de façon limitée leur responsabilité à l'égard de certains aspects, en fonction de leurs modèles de service de cloud. Peuvent-ils réellement aller plus loin qu'alerter l'utilisateur si un incident affecte les ressources (ou leur accès) sur le cloud ? Cette limitation de responsabilité met la pression sur le gestionnaire du contrat afin qu'il lise attentivement l'ensemble des dispositions et les conditions d'utilisation. Il y a donc certaines dimensions qui restent du ressort exclusif des utilisateurs. L'adoption du cloud computing entraîne l'extension de leur cadre de résilience opérationnelle existant afin de soutenir le déploiement et la migration des données dans le cloud. Par conséquent, les entreprises devraient accélérer leur mise en conformité afin d'être capables de gérer des risques supplémentaires et s'assurer que les pratiques appropriées pour l'amélioration de la technologie sont en place.

Un autre défi à relever est probablement la pénurie de compétences. La migration des données pourrait introduire de la complexité dans le département IT. Les équipes doivent donc disposer de capacités et de compétences suffisantes pour aider les fournisseurs de cloud à intégrer les données de l'entreprise dans l'espace de données cloud et surveiller les processus d'adoption. Comme on pouvait s'y attendre, les techniques et les outils varient d'un fournisseur à l'autre. L'entreprise cliente peut donc être confrontée à un gap de compétences entre le fournisseur de cloud computing et les équipes internes. Le besoin peut alors de faire sentir pour les risk managers et les compliance officers de développer de nouvelles compétences – ou au moins de les mettre à niveau – afin de pouvoir s'emparer de ces risques émergents. Il arrive parfois que l'on doive faire preuve d'une diligence raisonnable sans pour autant comprendre toute la portée de la sécurisation du cloud computing.

La compliance ne tue pas le cloud computing, mais oblige à changer son approche

Les problèmes de compliance que pose le cloud computing ne devraient pas constituer un obstacle pour les entreprises qui cherchent à déplacer des ressources vers le cloud afin de minimiser les coûts. Au lieu de refuser un choix risqué, elles doivent prendre ce défi comme étant une source de créativité, les incitant à mettre en œuvre des pratiques judicieuses. La question-clef est de savoir comment utiliser le cloud dans une logique de risques maitrisés. Il y a deux questions principales qui pourraient affecter la capacité de l'organisation à maintenir une compliance satisfaisante.

La première question est de savoir quel type de données doit être stocké dans le cloud. Au fur et à mesure de l'adoption croissante du cloud computing et une meilleure compréhension de son fonctionnement, le niveau et les caractéristiques du service augmenteront en parallèle. De toute évidence, les services des fournisseurs de cloud computing public sont utiles et pratiques pour permettre aux entreprises de minimiser leurs dépenses, notamment en termes de coûts d'IT. Toutefois, de nombreuses entreprises de premier plan, à la lumière de la transmission des informations personnelles des clients, ont été tentées d'investir dans le "Hybrid Cloud". Il s'agit d'une combinaison d'un service de cloud computing public et d'une infrastructure sur site qui convient beaucoup mieux aux besoins des entreprises. Cela leur permet de réorganiser leur supervision de la politique des données. Les industries telles que les services financiers et les soins de santé font face à des amendes et à d'autres sanctions en vertu de réglementations spécifiques telles que PCI DSS, SOX, GLBA, HIPAA et HITECH. Les entreprises peuvent décider de stocker des données hautement confidentielles dans leur cloud privé avec un contrôle spécifique et de laisser d'autres informations, requérant un niveau de confidentialité moins important, dans le cloud public. À l'instar du cloud public traditionnel, l'entreprise pourrait maintenir sa compliance en plaçant ses données secrètes et importantes dans ses périphériques de stockage internes. Dès lors, elle pourrait négocier les défis que présente le cloud en matière de compliance, en déclarant qu'elles atteignent un certain niveau de classification des données, en fonction du niveau de sécurité qu'elles requièrent et de chaque type de stockage. Néanmoins, le fait d'avoir deux environnements de données différents exige un degré plus élevé de suivi pour superviser et assurer la bonne circulation des données.

La deuxième préoccupation concerne le lieu où les données sont stockées. En règle générale, les données de l'entreprise sont conservées dans un système physique permettant à l'entreprise de savoir exactement ce qu'il en est en termes de sécurité. Lorsqu'il s'agit de cloud computing, il est compliqué d'identifier le lieu de stockage des données à des fins de compliance. Les utilisateurs du cloud ne peuvent certainement pas s'attendre à ce que les fournisseurs de services indiquent où se trouve l'information en raison de sa conception « nébuleuse ». Au fil du temps, bon nombre de fournisseurs se sont penchés sur cette question en s'assurant que les détails de leur compliance sont à la disposition de leurs clients. Ainsi, il devient plus facile pour les utilisateurs du cloud de s'assurer de l'état de compliance de leurs fournisseurs de services, notamment s'ils se conforment au Federal Information Security Management Act (FISMA) pour les entreprises basées aux États-Unis ou à d'autres réglementations d'agences reconnues, par exemple le Cloud Security Alliance (CSA) ou le European Union Agency for Network and Information Security (ENISA).

En conclusion, une entreprise qui adopte les technologies du cloud computing doit se préparer à être pleinement informée quant aux risques auxquels elle s'expose. Au-delà de veiller à se prémunir d'une éventuelle protection insuffisante, les utilisateurs de solutions de cloud pourraient également s'assurer que le fournisseur qu'ils ont choisi est disposé à travailler avec eux pour leur fournir des détails et prouver leur niveau de compliance.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer