Il faut protéger la liberté de l'entreprise dans le cloud
par mail
l'article
Un système d'information sans informaticiens ? De nombreux chefs d'entreprise en rêvent dans l'espoir de réduire leurs coûts informatiques. Un rêve qui, aujourd'hui, a pris corps. Il est en effet possible d'externaliser sur le web l'intégralité d'un système d'information grâce à des applications en ligne simples, standardisées et mutualisées. Tous les besoins d'une PME peuvent être ainsi couverts : la téléphonie IP, la messagerie collaborative, le progiciel de gestion intégré (PGI) ou de gestion de la relation client (GRC). Le tout en mode Saas (Software as a service). L'externalisation totale du système d'information, ou Total Information Outsourcing (TIO) serait ainsi devenue le nouveau paradigme en matière de réduction des coûts, ou de coût total de possession (TCO pour Total Cost of Ownership). TIO pour TCO : gageons que l'approche devienne la norme pour les créateurs d'entreprise. Car même les grandes sociétés (Valeo, Renault, Alcatel…) l'envisagent, l'expérimentent ou l'adoptent en lieu et place des logiciels libres ou propriétaire, déployés jusqu'ici sur leurs propres infrastructures.
Perte de contrôle, problèmes de confidentialité
Toutefois, cette externalisation comporte des risques, par exemple au niveau du courrier électronique. Lorsque les entreprises européennes stockent leurs courriels sur des serveurs tiers aux Etats-Unis, elles s'exposent à un danger bien réel. Surtout si elles exportent fréquemment vers certains pays connus pour leurs pratiques peu transparentes en matière de marchés publics. En effet, les lois américaines autorisent les services d'intelligence économique à recourir aux moteurs de recherche. Au nom du soupçon de corruption, des données confidentielles peuvent ainsi être transmises à des concurrents américains, quels que soient les accords contractuels en matière de protection des données. Ces pratiques existent également entre industriels européens, comme l'attestent les affaires autour du marché de la carte d'identité au Nigeria.
Bien que séduisante, l'externalisation totale du système d'information risque également de conduire à une perte de contrôle des données de l'entreprise. En effet, la plupart des fournisseurs de GRC ou de PGI en mode Saas n'offre pas un accès complet à l'intégralité des données et des logs dans un format natif. Impossible, alors, de migrer les données de l'entreprise vers une autre application sans perte d'information. Ou d'auditer l'historique des transactions, notamment lorsque l'on a besoin de preuves dans le cadre d'un contentieux. La plupart des fournisseurs n'autorise pas, non plus, de télécharger une version autonome du logiciel applicatif afin d'internaliser le service initialement externalisé.
Mise en place de recommandations du “ TIO libre ”
Reste que l'externalisation du système d'information des entreprises sur le web présente trop d'avantages pour que ces risques bloquent durablement son adoption. La Fondation pour une infrastructure informationnelle libre (FFII) a donc constitué un groupe de travail et de réflexion afin d'aider les entreprises à tirer parti d'une démarche de TIO, sans pour autant perdre le contrôle de leur information et sans prendre de risques inutiles. A l'issue de six mois de travail, la FFII recommande aux entreprises de s'assurer que les contrats de niveau de service (SLA pour Service Level Agreement) proposés par les fournisseurs de Saas, de cloud computing et autres services d'externalisation garantissent trois libertés fondamentales : l'accès intégral aux données, l'accès au code source des logiciels applicatifs, et l'absence d'entrave à la libre concurrence. Outre ces libertés, la FFII recommande de vérifier que les SLA et les textes de lois applicables garantissent la loyauté du fournisseur en matière de confidentialité des données, de procédures de recrutement de son personnel, et de transparence de ses processus d'exploitation. La fondation a commencé à identifier les fournisseurs conformes à ses recommandations et encourage les autres à les rejoindre en adoptant les recommandations du TIO libre.
