Peut-on faire confiance au Cloud Computing

Depuis la naissance du concept du Cloud Computing et plus particulièrement du SaaS les aspects juridiques sont particulièrement importants. Ces contraintes jouent dans les deux sens :

  • Toute entreprise ou individu est tenu de respecter les lois en vigueur sur son territoire
  • Par ailleurs, chacun doit avoir connaissance des contraintes qui pèsent sur ses données (confidentialité, droit de la propriété, …) avant de décider de les confier à un tiers et dans quelles conditions

Concernant la stratégie de choix d’implantation sur le Cloud, qui est mondial, une entreprise multinationale, qui a besoin d’une présence multiple et les moyens juridiques d’étudier chaque zone, les choix peuvent être faits en accord avec les contraintes d’implantation géographique et une optimisation juridique.

Il est par exemple bien connu que les contraintes sont bien plus fortes en Chine qu’ailleurs.

Cependant, le point le plus délicat porte sur les Etats-Unis, berceau du Cloud Computing, et à ce jour marché des acteurs dominants. Les soupçons pesaient depuis longtemps sur le risque d’accès aux données par les agences du gouvernement.

Ce risque est maintenant avéré par des fuites dans les journaux et confirmé par le président.

D’ailleurs l’Europe et la France en particulier ont déjà lancé des initiatives pour se doter de “Cloud souverains” justement pour se prémunir contre l’espionnage américain.

On anticipe donc maintenant une évolution du marché vers les acteurs locaux.

Est-il justifié de céder à la panique ? Y a-t-il un risque de prise de contrôle du Cloud, de l’Internet ? Et par qui ?

Il faut d’abord rappeler qu’Internet, projet très ancien, basé sur des technologies financées par la défense américaine, s’est développé ensuite très librement comme un réseau de recherche. N’étant pas du tout conçu à l’origine pour transmettre la voix ou la vidéo, ces applications se sont développées de façon très anarchique au début.

Cette grande liberté a permis l’essor d’innovations comme la téléphonie sur IP, de la vidéo, comme des systèmes d’échange de fichiers. Certaines technologies ont été intégrées par les opérateurs et sont devenus les nouveaux standards, comme la téléphonie IP (seul le modèle de coûts a changé). D’autres ont mené à des possibilités de piratage de musique ou de film. Enfin, les réseaux sociaux ont permis de libérer des peuples !

Les gouvernement réagissent lentement. Après des dizaines d’années, l’Internet étant devenu LE RESEAU véhiculant la plupart des échanges, il était inévitable qu’une régulation intervienne.

Après tout, dans l’ancien monde de la téléphonie il y avait des écoutes. Et personne n’est assez naïf pour croire qu’elles étaient toutes légales (d’ailleurs le Watergate nous le rappelle).

Pour en revenir au Cloud, les Etats Unis ont donc leur système de contrôle, dont l’objectif “officiel” est la lutte contre le terrorisme. Il est bien probable qu’en France et en Europe une surveillance comparable soit pratiquée.

De nombreux pays, dont la France et les Etats Unis, ont des programmes de lutte contre le piratage. On peut bien imaginer que les outils scannent les échanges à cet usage.

Pour une étude comparée de la surveillance dans les différents pays, on peut s’appuyer sur ces documents IDC : Data Sovereignty, Data Sovereignty and the Cloud.

Nous vivons dans des pays démocratiques ou chaque citoyen apporte sa voix en faveur de ce type de loi.

La bonne nouvelle, c’est qu’une presse libre fait état des abus potentiels (sans doute plus dans le monde anglo-saxon).

Donc pour reformuler la question, il ne s’agit pas seulement de savoir si on peut faire confiance au Cloud, mais au système législatif de nos pays démocratiques ?

Dans la plupart de cas et pour la plupart des acteurs économiques et privés, la réponse est OUI.

Et on en revient ensuite à une stratégie qui relève du bon sens :

  • La question de la confidentialité se pose pour tous les échanges par tous les canaux (et ne concerne pas seulement le Cloud)
  • Toute entreprise ou personne peut décider des informations “critiques” dont elle doit protéger la confidentialité. Ces données doivent être traitées à part (chiffrement, stockées localement ?)
  • Pour le reste des données “banalisées” il reste opportun de faire un choix sur la base de l’ensemble des critères (fonctionnalités / performances / prix / sécurité )

Pour conclure, il faut rappeler que pour l’ensemble des données, les technologies de chiffrement peuvent être employées par défaut par certains opérateurs ou être mises en oeuvre par les utilisateurs “prudents”. Les recherches actuellement en cours sur “l’homomorphic encryption” permettront peut-être même de disposer de chaines complètes de traitement sans nécessiter l’accès aux données “en clair”.

Comments are closed.