SaaS et Cloud computing en 2011 : menaces et dangers



Deux infos qui tombent la même semaine, et qui se téléscopent :

  • Apple se lance dans le cloud computing, avec une offre intitulée sobrement iCloud, dont les contours ne sont pas encore totalement connus ;
  • Google annonce une attaque massive de son service de messagerie dans les nuages Gmail, attaque qui pourrait avoir compromis des comptes de hauts fonctionnaires américains ou de dissidents chinois.
Le "cloud", c'est LE concept à la mode en ces années 2010. Une révolution dans la manière de consommer le logiciel, une nouvelle façon de se servir des ordinateurs, une nouvelle ère dans le stockage des données.

Vos contenus sont désormais accessibles de n'importe où et depuis n'importe quel terminal. Que ce soit pour sa messagerie, sa bureautique, sa comptabilité ou ses sauvegardes, l'utilisateur professionnel peut enfin s'affranchir de l'achat de coûteuses licences de logiciel, des problématiques liées aux systèmes d'exploitation, voire même, d'une gestion d'infrastructure informatique.

Il est vrai que cette promesse de mobilité et d'indépendance a de quoi séduire.

Sauf que... cela soulève un certain nombre de questions.
L'année 2011 a été marquée par le tremblement de terre au Japon, le printemps des pays arabes et une guerre virtuelle entre Chine et Etats-Unis. Quel rapport avec le SaaS me direz-vous ? J'en distingue au moins trois :
  • les évènements terribles qui ont frappé le Japon ont démontré que les infrastructures technologiques d'un pays sont à la merci de catastrophes climatiques majeures, et que nul ne peut prévoir de plan de continuité dans des cas aussi extrêmes ; et que si le pays en question est un noeud majeur du maillage Internet, on risque d'assister à un effet domino dévastateur ;
  • des pays peuvent être amenés à couper l'accès à Internet pour des raisons de politique intérieure, sans aucune considération pour leurs voisins ni pour la législation internationale ;
  • des services peuvent être menacés et piratés par des pays tiers ou des organisations terroristes, alors même qu'ils ne semblent revêtir aucun caractère stratégique.
Le SaaS et le Cloud computing reviennent finalement à une équation simple : confier ses données à des sociétés que l'on connaît peu, afin qu'elles les stockent on ne sait où, suivant on ne sait quelle législation. En contrepartie de quoi, la société en question s'engage à rendre ces données accessibles en théorie, 24 heures sur 24, n'importe où dans le monde.

Pour la plupart des PME, cette équation présente aujourd'hui plus d'avantages que d'inconvénients. Sauf si elles travaillent dans des secteurs sensibles, potentiellement menacés par de l'espionnage industriel. Sauf si elles ont besoin d'un niveau de confidentialité important. Sauf si leur survie dépend de façon critique de ces données. 

Et que dire des organisations non-gouvernementales ? Leurs données doivent être mises à l'abri des oreilles indiscrètes de certains services d'espionnage. Certes, tout ce qui se trouve sur un ordinateur ou un réseau informatique peut potentiellement être piraté : mais avec le cloud, disons que le travail des pirates et des corsaires est facilité. 

A mon avis, le Cloud risque de connaître une crise de croissance dont il peut résulter une menace accrue sur les données sensibles, des personnes comme des organisations.

Militer pour un patriotisme technologique ?
La Russie a lancé un programme ambitieux destiné à rendre toutes les administrations du pays indépendantes de technologies étrangères, en particulier au niveau du logiciel. On peut voir cela comme un héritage de la guerre froide ou un sursaut de nationalisme. Mais à l'heure d'une dépendance sans cesse croissante aux hautes technologies, sur lesquelles seules deux ou trois nations ont la mainmise, cela a du sens. Vraiment.
En France et à minima, en Europe, je pense qu'il va être urgent de réfléchir à une nationalisation du cloud, ou à un patriotisme technologique, appelez-le comme vous voulez. Dans la logique "think global, act local", il serait pertinent de tirer tout le bénéfice du SaaS et du Cloud, tout en le sécurisant par rapport aux évènements qui pourraient le menacer.
En d'autres termes, garantir aux entreprises françaises que leurs données seraient stockées en métropoles, et gérées par des organismes soumis à la législation française.

En parallèle, il serait judicieux de prévoir voire d'imposer dès à présent un mode d'urgence pour toute application SaaS qui garantisse qu'elle puisse fonctionner en offline ou via un réseau dégradé. De façon à assurer une continuité de service en cas de troubles civils, de problèmes technologiques ou des phénomènes climatiques. Je crains en effet que, fascinées par l'engouement pour le Cloud, nombre de PME confient aveuglément leurs données à des applications SaaS sans mesurer que leur outil de travail puisse être indisponible pour des raisons qui leur seraient totalement étrangères.
Une redéfinition du battement d'ailes du papillon en somme.

Bref, le cloud, oui... mais pas au détriment de la sécurité, ni de la confidentialité, ni de la disponibilité.