N° 16 : Les risques associés au Cloud computing

Le Cloud computing (aussi appelé informatique « en nuage » ou informatique « nébuleuse ») est défini comme un « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire. L’informatique en nuage est une forme particulière de gérance informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ».

Ce sujet est d’actualité pour de nombreuses instances de régulation. En France, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) travaille à un encadrement via un dispositif de certification. La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié en 2012 des recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing. À l’étranger, plusieurs autorités de contrôle ont émis des avis (États-Unis, Singapour, Pays-Bas), voire imposé un système d’autorisation préalable (Espagne) pour l’utilisation de cette technologie.

Dans ce contexte, le Secrétariat général de l’Autorité de contrôle prudentiel (SGACP) a souhaité, au travers d’une courte enquête, engager un dialogue avec les entreprises des secteurs de la banque et de l’assurance sur le périmètre, l’usage et les risques du Cloud computing. Quatorze entreprises du secteur de l’assurance et douze du secteur de la banque ont répondu à un questionnaire au début de cette année, donnant ainsi une vue représentative sur ces sujets.

Au terme de ces échanges, il est d’abord apparu utile de préciser la notion de Cloud computing en proposant une définition multicritère fondée sur celle du National Institute of Standards and Technology (NIST). Le SGACP propose donc de caractériser ces prestations de la façon suivante : le Cloud computing consiste à déporter sur des serveurs distants des données et des traitements informatiques traditionnellement localisées sur des serveurs locaux, voire sur le poste de l’utilisateur ; il permet l’accès via le réseau, à la demande et en libre service, à des ressources informatiques virtualisées et mutualisées généralement facturées à l’usage ; trois types de services sont proposés (IaaS - Infrastructure as a Service, PaaS - Platform as a service, SaaS - Software as a Service), déployés selon quatre modèles (Cloud privé interne, Cloud privé externe ou Cloud communautaire, Cloud public, Cloud hybride).

Les établissements de crédit et organismes d’assurance (entreprises) ayant répondu au questionnaire ont confirmé que le Cloud computing présente des risques supérieurs à l’infogérance classique. Les risques identifiés sont nombreux et couvrent la confidentialité des données, la disponibilité des données et traitements, l’intégrité (en particulier le risque de réversibilité ou enfermement) et enfin le domaine de la preuve et du contrôle. Ils s’accordent sur la nécessité d’un environnement juridique renforcé, certaines mesures techniques de sécurité, la nécessité de contrôler le prestataire, l’engagement du prestataire sur la continuité du service et, enfin, la nécessité d’obtenir une garantie du prestataire sur la réversibilité de la prestation.

En revanche, les avis divergent sur l’importance de l’enjeu économique autour des services de Cloud computing, nombre d’entreprises faisant valoir que les considérations de sécurité devaient l’emporter dans l’analyse de l’intérêt de telles prestations. Au demeurant, on constate qu’une grande majorité des entreprises utilisent le Cloud computing dans les domaines de gestion considérés comme hors « cœur de métier », même si un usage pour des domaines plus sensibles se fait également jour. Il semble également que les modalités d’adoption du Cloud computing soient différentes dans le domaine de l’assurance et de la banque.

À l’issue de cette première analyse, qui devra être affinée au fil des évolutions constatées dans l’usage et les risques du Cloud computing, l’ACP encourage les entreprises qu’elle contrôle à prendre des mesures de maîtrise des risques adaptées sur les points suivants :

• Juridique : par un encadrement contractuel impératif des prestations de Cloud computing ;

• Technique : avec le chiffrement lors du transport et du stockage des données (en l’absence d’anonymisation) ;

• Contrôle du prestataire : avec notamment la capacité d’audit et le droit de le faire pour l’ACP ;

• Continuité de la prestation : en veillant à ce que les contrats de service permettent de formaliser les attentes de l’entreprise cliente ;

• Réversibilité de la prestation : les conditions de réversibilité devant être prises en compte lors de la souscription du service ;

• Intégration et urbanisme du système d’information : l’organisation et la gouvernance des systèmes d’information devant être adaptés à l’utilisation du Cloud computing.

Ces bonnes pratiques s’inscrivent dans le cadre plus large défini pour le contrôle des prestations externalisées, y compris l’infogérance classique. Les attentes de l’ACP en termes de gouvernance des décisions, d’analyse des risques, de contractualisation, de pilotage et de contrôle interne des prestations de Cloud computing sont donc similaires à celles qui prévalent aujourd’hui dans le contrôle prudentiel.