L'accélération des usages du IaaS, du PaaS et du SaaS dans les entreprises françaises bute encore sur certains questionnements : quid, notamment, de la sécurité et de la confidentialité des données, de la qualité et des performances des services proposés, ou encore de la possibilité de se réapproprier les données hébergées chez un prestataire (réversibilité) ? C'est pour rassurer les clients que le réseau national des clusters numériques France IT lance un label qui atteste de la qualité des services cloud proposés par les professionnels de l'informatique. Initié par les entreprises adhérentes de Digital Place, le cluster numérique de Midi-Pyrénées, ce label consiste en un référentiel de 200 bonnes pratiques. « Nous l'avons bâti en nous inspirant de la définition des différents niveaux de services qui existent dans le cloud édictée par le National Institute of Standards and Technology américain. Nous y avons ajouté la norme ISO 27001, qui décrit les exigences relatives à la mise en place d'un système de gestion de la sécurité de l'information, et des règles liées à la gestion de la relation client. Les caractéristiques qui en sont ressorties ont été associées à des bonnes pratiques qui s'appuient sur des processus ITIL », explique Jean-Pierre Bayol, le vice-président de France IT et directeur général de Digital Place.

Trois niveaux : de l'auto-évaluation à l'audit

Ce chantier qui a duré une année donne naissance à un label décliné sur trois niveaux accessibles aux éditeurs, hébergeurs et opérateurs cloud. Le premier repose sur une auto-évaluation des prestataires par rapport aux 200 bonnes pratiques référencées. Elle est complétée par l'intervention d'un consultant indépendant, désigné par France IT, chargé de demander aux entreprises des clarifications et des preuves sur ce qu'elles déclarent. Le second niveau dit « confirmé » consiste à demander aux candidats de fournir une liste de leurs procédures. Le dernier niveau, intitulé « certifié », implique quant à lui le déplacement d'un consultant dans les locaux du prestataire en vue de l'auditer. Rien de cela n'est gratuit. Les tarifs ne sont pas encore définitivement fixés mais il devrait en coûter de 1000 € environ pour une labellisation basée sur l'auto-évaluation à 4000 € pour un processus sanctionné par un audit.

Anticiper l'arrivée des normes américaines

Une première phase de labellisation débutera fin janvier. France IT espère pouvoir étudier une quinzaine de dossiers de candidatures. Une bonne partie d'entre eux devraient émaner des entreprises adhérentes de Digital Place vu leurs implication dans la création du label. Le solde sera issu des candidatures de sociétés membres des 13 autres clusters qui constituent France IT. A termes, le label pourrait être ouvert à des professionnels de l'IT non-membres du réseau national de clusters. « Mieux vaut anticiper l'arrivée de standards que de les subir car on sait qu'un jour ou l'autre ils arriveront, notamment des Etats-Unis, indique Jean-Pierre Bayol pour mieux convaincre les acteurs de l'informatique de l'intérêt d'adhérer à la nouvelle norme. Outre-atlantique, il est quasi obligatoire depuis un an d'avoir une certification ISO 27001 ou SAS70 pour répondre à un appel d'offres. »

En créant son label, France IT n'a fait qu'une partie du travail qui doit lui permettre de s'imposer comme un organisme participant à la normalisation du paysage du cloud en France. Pour que l'initiative fonctionne, elle doit en effet recevoir le soutien des clients et des autres organisations du secteur de l'IT comme l'AFDEL ou le Syntec. Pour l'instant, ces derniers ne se sont pas encore ralliés au jeune label.