L'association Cloud Confidence, créée l'été dernier veut établir – voire rétablir – et promouvoir la confiance dans le cloud computing en France comme dans le reste de l'Europe. Guillaume Tissier, directeur général de CEIS, (dont le président Olivier Darrasson préside également Cloud Confidence) revient pour nous sur les objectifs de l’association.
Pourquoi créer Cloud Confidence ?
Guillaume Tissier : Créée en juillet 2014, Cloud Confidence regroupe à la fois des offreurs, des utilisateurs et un certain nombre d’autres professions (consultants, avocats, …) qui travaillent sur la thématique du cloud computing. Le constat de départ étant que le marché du cloud est certes en pleine progression, mais pose malgré tout une problématique de confiance et de sécurité, à partir du moment où il suppose d’externaliser une partie de ses données.
L’objectif de l’association est donc d’offrir d’une part un cadre de confiance sur la base d’un label et d’un référentiel, et de proposer d’autre part une plateforme de discussions autour des questions de sécurité et de confiance dans le cloud. L’association est donc formée autour de trois collèges : offreurs, utilisateurs et écosystème.
Le collège offreurs est constitué d’une dizaine d’acteurs, en l’occurence des éditeurs SaaS, des offreurs IaaS et PaaS. Ils bénéficieront du label après audit. Le deuxième collège - celui des utilisateurs - est constitué des DSI du secteur public et du secteur privé. Ils expriment leurs besoins et qui nous permettent de faire évoluer le référentiel. Enfin, le troisième collège, celui de l’écosystème, est composé d’avocats, de consultants et de juristes.
CEI fait donc partie du collège « écosystème »
Guillaume Tissier : En effet, CEIS dont j’assure la direction générale, est une agence de conseil en stratégie qui intervient principalement dans les secteurs de la souveraineté, ainsi que, depuis quelques années, sur les questions de sécurité et de confiance numérique. La participation à Cloud Confidence s’explique par notre volonté de construire les conditions de la confiance, notamment par une approche juridique.
La vice-présidence de l’association est notamment assurée par un avocat
Guillaume Tissier : Olivier Iteanu est en effet vice-président de l'association. En tant qu'avocat, il travaille depuis très longtemps sur ces questions de sécurité, de confiance, de protection des données. Cette approche juridique est cruciale pour nous.
L’un des principaux objectifs de Cloud Confidence est de favoriser les échanges entre différents milieux professionnels. Comment procéder ?
Guillaume Tissier : Nous avons créé différents groupes de travail sur de multiples thématiques (utilisateurs, offreurs et écosystème). Ces milieux se connaissent, mais ne disposent pas souvent l’occasion d’échanger entre eux. Notre objectif est donc de favoriser la discussion, notamment autour de la question du référentiel.
En quoi consiste ce référentiel ? Comment peut-on le consulter ?
Guillaume Tissier : La première version du référentiel n’est pas publique : elle n’est utilisée qu’au sein de l’association. En revanche, les versions ultérieures seront prochainement accessibles, car ce référentiel doit évoluer avec les avis des utilisateurs. Il concerne principalement le contrat client. L’idée générale est d’aborder les questions de sécurité en s’appuyant sur l’existant, tant en termes de sécurité que de normalisation (notamment l’ISO/CEI 27001) etc.
Il faut aller au-delà de ce qui existe déjà. Je pense notamment à l’examen du contrat client. L’un des points-clés de ce référentiel consiste à examiner le contrat client pour s’assurer, d’une part que la société prestataire et ses sous-traitants ne sont pas soumis à des réglementations extra-européennes de type Patriot Act ; la problématique principale sur la protection des données restant l’extra-territorialité.
Il s’agit également de veiller à la bonne localisation des données : le référentiel préconise à cet égard une localisation des données au sein de l’espace économique européen. Il faut également s’assurer que la chaîne des prestataires et des sous-traitants soit parfaitement connue et maîtrisée, que le prestataire respecte les dispositions européennes en matière de protection des données personnelles…
Il y a donc un ensemble de points de conformité à vérifier lors des audits sur ce contrat client. Nous reprenons aussi un certain nombre de critères relatifs à la sécurité, comme l’existence d’une politique de sécurité, d’habilitation pour le personnel, de mécanismes de contrôle interne à l’entreprise, d’une analyse des risques systématique, et enfin d’une transparence quant à la sécurité des données du client…
Vous distribuez des labels sur les offres, pas sur les offreurs.
Guillaume Tissier : Ces labels sont en effet décernés par une société indépendante : on entre dans un dispositif classique de certification dans le sens où ce n’est pas l’association qui délivre ce label, mais une société qui s’appelle LSTI. Celle-ci délivre la certification sur la base d’un audit.
Le Patriot Act à la française est-il une réalité ?
Guillaume Tissier : Des décrets d’application de la LPM (Loi de Programmation militaire) viennent d’être ou vont être publiés, notamment cet article 20 qui est souvent considéré comme un Patriot Act à la française. Nous ne sommes pourtant pas du tout sur le même type de dispositif. L’article 20 publié le 24 décembre 2014 est une prolongation du dispositif existant sur les écoutes téléphoniques. Nous ne sommes pas sur un dispositif massif de surveillance. Il n’y a pas de branchement permanent des entreprises comme au sein de la NSA, ainsi que le rapport Snowden l’avait démontré. D’autre part, un dispositif de contrôle sera mis en place, mais de façon totalement différente, sans commune mesure avec le Patriot Act américain.
Cloud Confidence a été créée récemment, avez-vous déjà quelques succès à votre actif ?
Guillaume Tissier : Nous comptons d’ores et déjà 15 membres, et de nouvelles adhésions se profilent. Deux sociétés ont obtenu un label sur l’une de leurs offres et trois autres entreprises sont en cours d’audit et seront probablement certifiées avant la fin du premier semestre, dont Orange Cloud for Business, qui vient de rejoindre l’association.
Il reste néanmoins beaucoup à faire pour gagner en confiance auprès des utilisateurs
Guillaume Tissier : C’est un travail de tous les jours et nous avons déjà travaillé en amont pour bâtir ce référentiel. Nous voulions qu’une grosse part du travail soit réalisé avant le lancement. Nous sommes désormais dans une phase de montée en puissance, avec l’organisation de groupes de travail, la poursuite de recrutement de nouveaux membres, que ceux-ci soient offreurs ou utilisateurs. Nous avons un objectif de 50 membres à la fin de l’année 2015.
Votre ambition va bien au-delà de la France...
Guillaume Tissier : L’Europe pour commencer, dans un certain nombre de pays réceptifs à cette question de la sécurité, de la confiance autour des données, et au-delà, aux questions sur la souveraineté numérique. On retrouve donc l’Allemagne, qui a été très marquée par les révélations de Snowden et qui s’est engagée depuis deux ans dans une véritable approche législative de souveraineté numérique. On pense également au Bénélux qui regroupe beaucoup d’offreurs et de prestataires cloud.
Y a t-il des pays où ne se pose pas de problèmes de confiance ?
Guillaume Tissier : Les pays européens sont logés à la même enseigne. Il y a un décalage entre la consommation de cloud et l’offre de cloud. Même si les acteurs locaux sont très dynamiques, nous sommes encore en retrait par rapport à l’offre américaine. Il est important de contribuer au développement de cette base industrielle et de développer la consommation du numérique en Europe. S’il y a une prise de conscience dans certains pays, d’autres restent sans doute à évangéliser, mais je pense que cette question de la confiance demeure une problématique largement répandue en Europe.
Propos recueillis par Yann Gourvennec
Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre, je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.