FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
L’option de l’informatique en nuage
Par Yves Giard et André Lessard
Illustration : Ryan Snook
Le choix de ce type d’environnement suppose qu’il est fondé sur de saines pratiques de la part de l’entreprise
L'informatique en nuage, soit l’utilisation de ressources informatiques comme les réseaux, les serveurs, les entrepôts de données, les applications et les services par Internet à des fins d’accès public, constitue une option intéressante pour les entreprises ayant une perception négative du rendement de leur capital investi en matière d’infrastructure informatique.
Ces entreprises peuvent alors décider de transposer leurs traitements informatiques dans un environnement virtuel à des coûts davantage reliés aux services offerts, tout en réduisant au minimum les coûts fixes.
Ce type de services présente plusieurs avantages : adaptation à la taille de l’entreprise, rapidité d’exécution, transparence sur le plan des coûts et capacité de fournir des services non disponibles à l’interne. Toutefois, avant de prendre une telle décision, on doit tenir compte de plusieurs facteurs.
Contrôle des données
L’une des particularités de l’informatique en nuage fait en sorte que les données peuvent être localisées, partagées et emmagasinées dans plusieurs pays, selon ce qu’en décidera le fournisseur du service. En optant pour cette solution, on renonce donc à maîtriser les canaux de circulation d’information de l’entreprise.
Il peut alors devenir difficile d’assurer adéquatement la protection des renseignements en raison des différentes lois, ou de l’absence de lois régissant les pays où transitent les données. Par exemple, aux États-Unis, plusieurs lois ou règlements ont une incidence sur la confidentialité des données, comme le USA Patriot Act et le Stored Communications Act.
Il est cependant possible de conclure un contrat avec le fournisseur dans le but de partager les risques liés à la confidentialité des données. Notons toutefois que peu importe le nombre de clauses incluses au contrat, une loi en vigueur dans un pays étranger ne s’appliquera pas nécessairement dans l’ensemble des pays concernés. Une autre possibilité consisterait à protéger ses données à l’aide du chiffrement. Cependant, l’utilisation du cryptage est très réglementée. Par exemple, en Libye, elle est interdite si le chiffrement n’est pas transmis aux autorités officielles.
On constate le risque lié à la confidentialité lors de transferts transfrontaliers de données. L’envers de la médaille, c’est qu’il est par exemple important de savoir que la directive 95/46 CE du Parlement européen interdit les transferts de données personnelles au-delà de ses frontières, sauf dans certaines conditions spécifiques.
On peut imaginer les conséquences qu’entraînerait l’entreposage de données dans un pays d’Europe et, du jour au lendemain, ne plus pouvoir les récupérer. Voilà un exemple qui ne s’applique pas au Canada, mais qui démontre l’importance de bien connaître les particularités régionales avant de faire transiter des données dans d’autres pays.
De plus, on doit s’assurer que les autorités ne puissent pas avoir accès aux données de l’informatique en nuage à des fins d’enquêtes ou de suivi sans avoir obtenu, au préalable, les droits et les permissions nécessaires.
Par exemple, en avril 2009, le FBI, par une ordonnance de la Cour, a saisi une série de serveurs informatiques. L’objectif visait à cibler d’importants fraudeurs qui agissaient à l’aide de ces serveurs. Toutefois, à la suite de cette action policière, une douzaine d’autres entreprises ont été incapables d’utiliser leur système informatique parce qu’elles faisaient partie du même parc informatique.
Il s’agit d’un cas rare, mais probable, qui montre bien qu’en matière d’informatique en nuage, lorsqu’il y a conflits de juridictions quant à l’hébergement des infrastructures, une organisation peut se retrouver assujettie à un pouvoir exécutif à l’égard duquel elle n’a absolument aucun contrôle.
Propriété intellectuelle
De la même manière, dans quelle mesure peut-on réclamer un titre de propriété intellectuelle lorsqu’un tiers, le fournisseur du service, une autorité ou n’importe quel autre utilisateur d’Internet, peut avoir accès aux informations d’affaires? L’utilisation d’Internet présente donc un risque fondé sur les critères de divulgation lorsqu’il est question de revendiquer des droits de propriété intellectuelle.
L’Organisation Mondiale de la Propriété Intellectuelle (OMPI) a publié, en septembre 2000, un document offrant un aperçu des lois existantes et formulant des suggestions. Fondé sur la résolution de l’Association Internationale pour la Protection de la Propriété Intellectuelle (AIPPI) émise en avril 1997, ce document a trait au critère d’accessibilité d’une information par Internet. «L’AIPPI estime que le seul fait de la transmission d’une information par un réseau informatisé n’est pas de nature à entraîner son accessibilité au public et, partant, sa divulgation. On doit tenir compte du niveau d’accessibilité qui résulte, entre autres :
- des caractéristiques techniques du réseau;
- du mode de communication;
- des dispositions d’accès et de sécurité.»
Ces critères se reflètent dans la jurisprudence actuelle. Aux États-Unis, en 2004, dans la cause Field contre Google, un auteur a intenté une poursuite contre Google parce que le moteur de recherche rendait disponible une copie de son travail à l’aide de l’application «Google Web Search», un exemple bien connu d’informatique en nuage.
En considérant la technologie utilisée par Google qui permet aux opérateurs de sites Web d’exclure en tout ou en partie le contenu, sur leurs sites, de ces résultats de recherche, la Cour du Nevada a donné raison à Google. Elle a jugé qu’Internet n’est pas la jungle qu’on pourrait croire sur le plan juridique. Un certain niveau de protection existe, à condition toutefois de prendre les précautions qui s’imposent.
Gestion de risques et conformité
En matière de conformité, qu’il s’agisse de la loi SOX, des Accords de Bâle ou des normes de sécurité dans le domaine des cartes de paiement (PCI-DSS), il est primordial de pouvoir démontrer, aux autorités responsables de ce volet, le respect des règles.
L’impartition en mode informatique en nuage suppose souvent que les solutions technologiques relèvent de la responsabilité du fournisseur de ces solutions. Le principal moyen de prendre cette préoccupation en compte reste le contrat de service conclu avec le fournisseur.
Voici deux exemples de la politique de fournisseurs importants à cet égard, Google et Amazon :
1) Google Apps : «Google et ses Partenaires ne garantissent pas que :
(i) les services Google répondront à vos besoins;
(ii) les services Google seront continus, sécurisés ou sans erreur;
(iii) les résultats qui peuvent être obtenus par l’utilisation de services Google seront exacts ou fiables;
(iv) la qualité des produits, services, informations, ou autre matériel acheté ou obtenu grâce aux services Google répondra à vos attentes; (v) toutes erreurs dans le logiciel seront corrigées. »
2) Amazon EC2 : «Vous déclarez et garantissez :
(i) que vous êtes seul responsable de l’élaboration, l’exploitation et l’entretien de votre logiciel et votre contenu, y compris sans limitation, l’exactitude, la sécurité, la pertinence et l’intégralité du contenu … »
À moins de pouvoir compter sur un excellent lien d’affaires avec le fournisseur ciblé, il ne semble pas que la tendance de l’industrie penche vers l’offre volontaire d’un type de garantie qui pourrait satisfaire aux exigences de la sécurité, du contrôle des données et des traitements informatisés. La reddition de comptes ainsi que les mécanismes de contrôle interne constituent donc un critère essentiel lorsque l’option informatique en nuage est envisagée. En d’autres termes, si des considérations de contrôle sont susceptibles de causer des difficultés de conformité, on doit écarter ce type de solution.
En plus du risque de conformité, il importe que l’environnement en mode informatique en nuage soit compatible avec d’autres plateformes. Nul besoin ici de mesurer la complexité des configurations et des interfaces.
Il s’agit d’abord de se questionner sur l’éventualité que le fournisseur décide de cesser ses opérations, ou simplement qu’on décide un jour de confier ses opérations à un autre fournisseur.
Cette réflexion consiste à déterminer si le niveau de dépendance à l’égard d’un fournisseur convient aux objectifs de l’organisation et à anticiper la complexité, ainsi que les coûts afférents à ces éventualités.
Les considérations liées au type de relève à envisager pourraient alors remettre en question la pertinence de cette solution. En d’autres mots, l’exploitation d’applications essentielles au fonctionnement quotidien d’une entreprise pourrait représenter un risque important si la technologie portante devient l’informatique en nuage.
Particularités de l’informatique en nuage
Du point de vue du fournisseur, on doit reconnaître que des normes applicables à une industrie particulière comme le secteur de la santé, du transport ou des services financiers ont toutes leurs particularités sur le plan du contrôle, de la gestion des données personnelles et des risques inhérents.
Les sociétés qui offrent des services d’informatique en nuage devront s’adapter à chacun de ces secteurs et y introduire des mécanismes liés à chacun de ceux-ci avant que l’on puisse envisager une action d’informatique en nuage.
De plus, dans plusieurs circonstances, un service de soutien informatique 24 heures sur 24, sept jours sur sept, est nécessaire pour les applications essentielles. Ce type de soutien n’est pas souvent possible dans le contexte d’informatique en nuage, alors qu’il est plus souvent question d’un délai de soutien minimal d’une heure.
D’autres facteurs importants ont trait à l’utilisation implicite d’Internet pour les communications. À moins que l'utilisateur n’ait mis en place un lien sécurisé ou une ligne cryptée, la communication s’effectuera en clair sur Internet.
De plus, cet utilisateur peut mettre en marche une ancienne version d’un fureteur qui présente des faiblesses sur le plan de la sécurité.
Comme le dit le vieil adage, la chaîne n’est pas plus forte que son maillon le plus faible. Les frontières d’une société reconnue pour ses normes de sécurité élevées seront étendues à celles de l’environnement d’informatique en nuage dont les normes sont potentiellement moins élevées. Des personnes aux intentions coupables pourraient donc abuser de cette relation de confiance.
Les normes en matière de sites d’informatique en nuage ne sont pas parfaitement claires, de sorte que dans certains cas, il pourrait être difficile de déterminer qui doit agir en cas d’atteintes à la sécurité des données.
Notons également que des expériences récentes ont démontré que la disponibilité des services constitue un facteur important. Plusieurs sites Web d’envergure ont connu des interruptions prolongées. Par conséquent, on doit s’appuyer sur de saines pratiques lorsque l’on envisage l’informatique en nuage. Ces pratiques pourraient limiter cette option.
On pourrait simplement choisir de conserver les données dans l’environnement informatique de l’entreprise et d'établir un lien au site externe sous forme sécurisée en ce qui a trait aux données nécessaires à l’informatique en nuage. On pourrait également partager l’utilisation de l’informatique en nuage entre plusieurs sociétés de services afin de limiter les risques.
Enfin, les applications essentielles de l’entreprise devraient être prioritairement conservées à l’interne, à moins qu’une analyse et une conception particulières n’aient permis d’écarter les risques associés à l’informatique en nuage.
Rapport indépendant sur la qualité des contrôles internes
Comme le précise le chapitre 5900 du Manuel de l’ICCA ou à l’instar d’un rapport de type Web of trust ou SysTrust, un rapport indépendant sur la qualité des contrôles internes pourra devenir un outil intéressant pour minimiser les préoccupations de contrôle et de sécurité de l’informatique en nuage.
Ce rapport supposerait que des normes reconnues en la matière soient édictées et qu’elles permettent de comparer les services offerts par un fournisseur donné.
L’organisme Cloud Security Alliance, qui a été créé en 2008 afin d’élaborer des normes pour les sites Web d'informatique en nuage, mène actuellement des consultations qui pourraient conduire à l’élaboration de normes de contrôle interne pouvant s’apparenter au PCI dans le domaine des cartes de crédit. Lorsque ces normes seront connues et bien maîtrisées, il sera plus facile d’établir un cadre de vérification qui renforcera l’exploitation et le contrôle liés à l’informatique en nuage.
En raison de l’incidence d’un bris possible de sécurité de la part de fournisseurs de services d’informatique en nuage, ces normes devront se situer à un niveau encore plus élevé que les normes en vigueur dans d’autres types d’environnements.
André Lessard, CMA, est conseiller rattaché au même Groupe de RSM Richter Chamberland.
Yves Nadeau, CA et associé, Gestion des risques et vérification au même cabinet, dirige cette rubrique.
