Aujourd'hui, le cloud se développe un peu de manière anarchique, mais cette croissance entraîne une certaine frustration, un mot que l'on entend de plus en plus dans les discussions sur les services hébergés. Par exemple, les clients du cloud et aussi certains fournisseurs, tempêtent contre le manque d'information sur les données et sur les standards de sécurité. Certains pointent du doigt l'absence de règles qui imposent aux fournisseurs de services hébergés d'indiquer la localisation des données des clients, surtout si elles sont hébergées hors des Etats-Unis et donc non soumis à la loi américaine sur la sécurité.

Lors de la SaasCon 2010, qui s'est tenu au début du mois, Ed Bellis, responsable de la sécurité du système d'information chez Orbitz, agence de voyage en ligne, a expliqué le choix de son entreprise d'utiliser le cloud pour améliorer la productivité et recentrer les managers sur leur coeur de métier. Néanmoins, le dirigeant interpelle les différents acteurs en demandant d'urgence des standards de sécurité pour le cloud. Orbitz, qui est à la fois utilisateur et fournisseur de services cloud, indique qu'il doit répondre à des exigences de sécurité à tous les niveaux, allant de l'enquête sur site à l'inspection des datacenters.

Des standards et du poids


Les normes élaborées par la Cloud Alliance Security, un groupe sans but lucratif financé par les utilisateurs et les fournisseurs de cloud pourrait constituer une solution. Les normes devraient afficher les données dans un format commun, permettant aux clients, selon Ed Bellis de savoir exactement « quelle est notre position sur la sécurité ». Le responsable indique que l'existence de telles normes réduirait d'un tiers son travail d'enquête.

[[page]]

De son côté, Keith Waldorf, vice-president des opérations de Doctor Dispense, spécialiste dans la e-prescription, a été très critique sur l'inflexibilité et les termes des contrats de certains fournisseurs. Il donne comme exemple, un accord passé dans le domaine matériel et logiciel qui était tellement verrouillé qu'il lui interdisait de profiter des améliorations ou des nouveautés du fournisseur. « Nous avons cassé ce contrat pour chercher un nouveau prestataire » souligne le dirigeant, et de préciser « aujourd'hui les accords sur le cloud sont tous sur le même modèle, à la discrétion des fournisseurs ».

Il est probable que les grandes entreprises infléchiront cette orientation lors de la négociation de leur contrat. Ainsi, dans le contrat pour l'utilisation des Google Apps, la ville de Los Angeles a demandé à Google d'accepter le paiement de dommages en cas de violation de l'accord de non divulgation. Mais la plupart des utilisateurs n'ont pas le même poids, explique Jim Reavis, fondateur de la Cloud Security Alliance.