©
CIGREF - IFACI - AFAI - Mars 2013
6
Préambule
Pour aborder la notion de protection des données dans le
Cloud
,
il est important de la
relier d’abord aux enjeux des Métiers. Cette réflexion sur l’analyse du risque encouru
peut ainsi se structurer à partir de la question « quel
Cloud
pour quel usage ? ». Il s’agit
donc de déterminer le niveau de protection nécessaire aux données hébergées, quelle
que soit leur localisation, et de choisir l’offre la plus adaptée à l’usage souhaité.
Par ailleurs, force est de constater que cette nouvelle offre de
Cloud,
pour
s’imposer
sur un marché de masse, a centré sa communication sur la mise en valeur d’avantages
incontestables en matière d’agilité, de capacité de réponse rapide à un besoin
opérationnel, de réduction importante des coûts de déploiement et d’usage, et
d’élasticité de l’offre, c’est-à-dire la capacité de s’ajuster au plus près de la croissance ou
décroissance du besoin. Ainsi, l’aspect de la protection des données est, dans les faits,
passé au second plan chez les fournisseurs de
Cloud
.
Par ailleurs, le retour d’expérience des entreprises montre que les offres actuelles de
Cloud
n’apportent pas un niveau de garantie satisfaisant en matière de protection des
données confidentielles ou à caractère personnel.
Enfin, l’offre
Cloud
pour le grand public et les avantages énoncés plus haut, sont une
incitation permanente des directions Métiers à s’affranchir des contraintes liées au
recours aux Directions Systèmes d’Information internes des entreprises, sans qu’elles
mesurent l’impact potentiel de telles initiatives sur les Métiers ou sur l’efficacité et la
performance du système d’information.
C’est pourquoi la sélection de l’offre
Cloud
la plus adaptée au besoin relève d’abord des
opérationnels, et doit être effectuée en lien avec les informaticiens. Ce guide pratique
facilitera leur dialogue en clarifiant ce que sont les offres
Cloud
disponibles, ce qu’est la
réalité de ces offres, et leurs limites en matière de protection des données. Il permettra
également d’accompagner les entreprises, en listant les questions à se poser avant leur
prise de décision, et les précautions contractuelles et opérationnelles à prendre.
