L'AFAI (Association Française d'Audit et de Conseil Informatiques), l'IFACI (Institut de l'Audit Interne) et le Cigref (Club Informatique des Grandes Entreprises Françaises) ont encore une fois constitué un groupe de travail commun pour créer un guide pratique destiné aux entreprises. Le dernier né de cette collaboration concerne la protection des données dans le cloud.

L'objet même de la collaboration est de croiser, dans ce guide, les regards des DSI, des auditeurs, des métiers et des acheteurs sur le sujet. Le guide est en consultation gratuite sur les sites web des associations partenaires. « Nous souhaitons apporter une sensibilisation indispensable aux directions métiers et directions générales, souvent sollicitées en direct » a relevé Régis Delayat, DSI de SCOR, administration du Cigref et de l'AFAI, lors de la présentation du guide.

Imposer de bonnes pratiques aux directions métiers

En effet, si le mouvement vers le cloud semble plus ou moins inéluctable, il entraîne des risques spécifiques qui doivent être traités. Les directions métiers voient souvent dans le cloud le moyen de contourner les procédures lourdes, lentes et contraignantes de la DSI. Or ces procédures ont aussi leur utilité.

Ainsi, la direction marketing d'un grand constructeur automobile a-t-elle été séduite pour développer de petites applications temporaires (liées à un lancement de véhicule par exemple) puis des applications plus pérennes (relations avec les clients, les concessionnaires...). Le tout sans lien avec la DSI, bien sûr. Au final, la marque s'est retrouvée avec de nombreux fournisseurs qui n'étaient pas tous au niveau de qualité nécessaire, notamment en termes de sécurité des données.

La prise de conscience des problèmes a été soudaine. La Direction Marketing Groupe a alors pris l'initiative d'un recadrage, a nommé un responsable interne à la sécurité et entrepris une démarche de gouvernance, avec formation des équipes marketing et un audit des fournisseurs.Le guide publié par l'AFAI, le CIGREF et l'IFACI vise justement à éviter de telles situations.

L'accent sur les données

Ce guide met l'accent sur les données. « En France, il est assez instinctif de se préoccuper des données personnelles grâce à la sensibilisation déjà ancienne réalisée par la CNIL » admet Marie-Christine Garcia, auditrice SI membre de l'IFACI (en photo). Mais il est beaucoup moins naturel de se préoccuper des données de l'entreprise : recherche et développement, marketing, etc.

Certes, le problème n'est pas né avec le cloud mais il acquiert une importance nouvelle avec cette forme d'externalisation qui peut vite devenir anarchique. Autant avec une externalisation classique une question comme « telles données peuvent-elles sortir de nos locaux ? » sera posée dans le processus contractuel, autant, avec le cloud, rien n'est moins sûr.

Olivier Bono, acheteur informatique membre du CRAI (Club des Responsables Achats Informatiques), s'est offusqué : « quand on dit 
le cloud, on fait un habillage marketing de multiples solutions IT or chaque solution a ses propres risques ». Pour lui, une solution simple entraîne des risques et une solutions simplissime entraîne des dangers.

Des définitions claires et des bonnes pratiques

Le guide vise à donner des règles pour choisir un fournisseur en connaissance de cause en prenant garde à des points sensibles qui doivent être autant de points d'attention dans le contrat. Le guide donne également de bonnes pratiques pour préparer l'arrêt d'un service dans le cloud comme, au delà de la récupération des données, de s'assurer que le fournisseur en a bien détruit toute copie. Le texte est de fait bien structuré, organisé en concepts-clés et en points d'attention clairement explicités.

En première partie, le guide comporte une série de définitions afin d'indiquer quel était le consensus qui a été fixé pour l'écriture de la partie principale. Les définitions indiquées n'ont pas la prétention d'aller au delà, notamment de prétendre à une valeur universelle supérieure. Enfin, l'ouvrage s'achève par une annexe présentant d'une part une bibliographie et d'autre part une série de normes, de référentiels et une clause d'audit standard à inclure dans les contrats.