Transfert de risques et d'agrégation dans le Cloud
Du point de vue du client, le Cloud Computing est un changement radical qui implique de passer d’un modèle d’opérations informatiques fondé sur des infrastructures à un modèle fondé sur des services. Les ressources informatiques sont mises à disposition à la demande. Une mutation qui a un fort impact sur l’évaluation et le traitement des risques informatiques.
Le modèle de risque traditionnel
Les risques liés à l’exploitation des infrastructures informatiques sont bien connus, les principaux étant : la disponibilité de l’infrastructure, des données et des processus ; l’intégrité de l’infrastructure informatique ; la confidentialité et l’authenticité des données et la sécurité des communications. Tant que l’infrastructure informatique est gérée en interne, l’analyse et la gestion des risques (couverture, réduction, atténuation, protection des risques et assurance) restent le domaine réservé de l’entreprise qui utilise les ressources informatiques. L’entreprise doit gérer elle-même ces risques, normalement par le biais d’accords de maintenance et de licence sous-traités ainsi qu’avec des assurances.
Le modèle de risque du Cloud
Lorsque les processus informatiques sont reçus du Cloud sous la forme de services, les risques applicables et la structure entière des risques connaissent une évolution majeure. Les risques spécifiques sont sensiblement réduits. Les fournisseurs de Cloud spécialisés peuvent proposer des niveaux élevés de sécurité informatique, de continuité des opérations et de plans d’urgence. En parallèle, de nouveaux risques se présentent : entre autres, la gestion des sorties et des transitions de service suite à l’expiration des contrats de services de Cloud, et l’accès aux données en cas de faillite du fournisseur de Cloud. Les mécanismes de gestion des risques évoluent eux aussi. Par exemple, en lieu et place d’un contrôle direct par les employés et l’infrastructure, des niveaux de service spécifiques sont conclus pour permettre une évaluation et un suivi de la qualité de service. Ces mutations fondamentales des risques sont trop souvent négligées par les clients lors de la migration vers le Cloud. Pourtant elles sont cruciales à l’analyse/évaluation des risques, au développement de stratégies de couverture et de migration, ainsi qu’à la répartition des risques résiduels et à l’élaboration de mesures efficaces pour le contrôle et la gestion. En fournissant/achetant des services de Cloud, la répartition des risques peut intervenir à différents niveaux, en particulier :
- Par la conception effective des services (attribution pratique de zones d’influence et de mécanismes de contrôle des risques) ; par exemple, le niveau d’abstraction auquel les services sont fournis/acquis : IaaS, PaaS, Saas (infrastructure, plate-forme, logiciels en tant que service).
- Par la répartition obligatoire des risques (les dispositions de responsabilité imposée par la loi en particulier).
- Par des accords contractuels comme outil principal pour corriger et ajuster la répartition concrète et obligatoire des risques.
Contrats de Cloud : encadrer les risques En général les services de Cloud sont fortement normalisés ; tant pour des raisons techniques (utilisation de la même plate-forme/infrastructure) que pour assurer une administration efficace et réduire les coûts de transaction. La base de cette relation est souvent énoncée sous la forme de contrats normalisés (ou tout du moins de documents juridiques de base normalisés tels que des modalités de service, de support et de licence) servant à définir la nature des services, le niveau de service, la disponibilité du service et les recours. Si l’évaluation et la répartition des risques dans ces contrats/accords-cadres de service standard (qui définissent généralement les bases des relations contractuelles de longue durée) ne sont pas correctement abordées dès le départ, cela peut entraîner pour le fournisseur de Cloud une accumulation et une agrégation problématiques des risques ainsi que des conséquences spécifiques en terme d’assurances.
Article extrait de la Hiscox Global Technology news n°1 dédiée au Cloud computing Dr Carsten Schulz, Taylor Wessing, Hamburg