Les risques associs au

Cloud computing

n16 juillet 2013

Sommaire
1. Caractristiques du Cloud computing..................................................................................... 5
1.1. lments de dfinition .............................................................................................................. 5
1.2. Prcisions apportes aux critres de dfinition ........................................................................ 6
1.3. Distinction entre Cloud computing et infogrance classique ..................................................... 6
2. Mise en uvre de services de Cloud computing ................................................................... 7
2.1. Enjeu conomique ................................................................................................................... 7
2.2. Avantages attendus ................................................................................................................. 7
2.3. Risques perceptibles pour les secteurs de la banque et de lassurance ................................... 8
2.4. Usage frquent pour les domaines de gestion et de support informatique ............................... 9
2.5. Dcision dengagement dans une prestation de Cloud computing ........................................... 9
3. Mesures daccompagnement requises.................................................................................. 10
4. Adquation de lenvironnement rglementaire ..................................................................... 11
5. Principaux enseignements et bonnes pratiques pouvant tre dgags. ............................ 11
Annexe : Enqute relative au Cloud Computing (questionnaire envoy) ............................... 15
Objectif de lenqute ................................................................................................................... 15
1. Caractristiques du cloud computing ................................................................................... 15
2. Les cas dusage du cloud computing .............................................................................. 16
3. Lenvironnement juridique du cloud computing ............................................................. 16
4. Les risques et les mesures de scurit associs au cloud computing .............................. 16

Les risques associs au Cloud computing

Rsum :
Les systmes dinformation sont un enjeu stratgique, aussi bien dans le secteur bancaire que dans le
domaine des assurances. Parmi les volutions rcentes, le dveloppement du Cloud computing est devenu
un sujet dattention.
1

Le Cloud computing (aussi appel informatique en nuage ou informatique nbuleuse ) est dfini
comme un mode de traitement des donnes dun client, dont lexploitation seffectue par linternet, sous la
forme de services fournis par un prestataire. Linformatique en nuage est une forme particulire de grance
informatique, dans laquelle lemplacement et le fonctionnement du nuage ne sont pas ports la
connaissance des clients .

Ce sujet est dactualit pour de nombreuses instances de rgulation. En France, lAgence Nationale de
Scurit des Systmes dInformation (ANSSI) travaille un encadrement via un dispositif de certification. La
Commission Nationale de lInformatique et des Liberts (CNIL) a publi en 2012 des recommandations pour
les entreprises qui envisagent de souscrire des services de Cloud computing. ltranger, plusieurs
autorits de contrle ont mis des avis (tats-Unis, Singapour, Pays-Bas), voire impos un systme
dautorisation pralable (Espagne) pour lutilisation de cette technologie.
Dans ce contexte, le Secrtariat gnral de lAutorit de contrle prudentiel (SGACP) a souhait, au travers
dune courte enqute, engager un dialogue avec les entreprises des secteurs de la banque et de lassurance
sur le primtre, lusage et les risques du Cloud computing. Quatorze entreprises du secteur de lassurance
et douze du secteur de la banque ont rpondu un questionnaire au dbut de cette anne, donnant ainsi
une vue reprsentative sur ces sujets.
Au terme de ces changes, il est dabord apparu utile de prciser la notion de Cloud computing en
proposant une dfinition multicritre fonde sur celle du National Institute of Standards and Technology
(NIST). Le SGACP propose donc de caractriser ces prestations de la faon suivante : le Cloud computing
consiste dporter sur des serveurs distants des donnes et des traitements informatiques
traditionnellement localises sur des serveurs locaux, voire sur le poste de lutilisateur ; il permet laccs via
le rseau, la demande et en libre service, des ressources informatiques virtualises et mutualises
gnralement factures lusage ; trois types de services sont proposs (IaaS Infrastructure as a Service,
PaaS Platform as a service, SaaS Software as a Service), dploys selon quatre modles (Cloud priv
interne, Cloud priv externe ou Cloud communautaire, Cloud public, Cloud hybride).
Les tablissements de crdit et organismes dassurance (entreprises) ayant rpondu au questionnaire ont
confirm que le Cloud computing prsente des risques suprieurs linfogrance classique. Les risques
identifis sont nombreux et couvrent la confidentialit des donnes, la disponibilit des donnes et
traitements, lintgrit (en particulier le risque de rversibilit ou enfermement) et enfin le domaine de la
preuve et du contrle. Ils saccordent sur la ncessit dun environnement juridique renforc, certaines
mesures techniques de scurit, la ncessit de contrler le prestataire, lengagement du prestataire sur la
continuit du service et, enfin, la ncessit dobtenir une garantie du prestataire sur la rversibilit de la
prestation.
En revanche, les avis divergent sur limportance de lenjeu conomique autour des services de
Cloud computing, nombre dentreprises faisant valoir que les considrations de scurit devaient lemporter
dans lanalyse de lintrt de telles prestations. Au demeurant, on constate quune grande majorit des
entreprises utilisent le Cloud computing dans les domaines de gestion considrs comme hors cur de
mtier , mme si un usage pour des domaines plus sensibles se fait galement jour. Il semble galement
que les modalits dadoption du Cloud computing soient diffrentes dans le domaine de lassurance et de la
banque.
lissue de cette premire analyse, qui devra tre affine au fil des volutions constates dans lusage et
les risques du Cloud computing, lACP encourage les entreprises quelle contrle prendre des mesures de
matrise des risques adaptes sur les points suivants :

Vocabulaire de linformatique et de linternet, publi au JORF n 129 du 6 juin 2010

Juridique : par un encadrement contractuel impratif des prestations de Cloud computing ;

Technique : avec le chiffrement lors du transport et du stockage des donnes (en labsence
danonymisation) ;
Contrle du prestataire : avec notamment la capacit daudit et le droit de le faire pour lACP ;
Continuit de la prestation : en veillant ce que les contrats de service permettent de formaliser les
attentes de lentreprise cliente ;
Rversibilit de la prestation : les conditions de rversibilit devant tre prises en compte lors de la
souscription du service ;
Intgration et urbanisme du systme dinformation : lorganisation et la gouvernance des systmes
dinformation devant tre adapts lutilisation du Cloud computing.
Ces bonnes pratiques sinscrivent dans le cadre plus large dfini pour le contrle des prestations
externalises, y compris linfogrance classique. Les attentes de lACP en termes de gouvernance des
dcisions, danalyse des risques, de contractualisation, de pilotage et de contrle interne des prestations de
Cloud computing sont donc similaires celles qui prvalent aujourdhui dans le contrle prudentiel.

tude ralise :
- Pour le SGACP, par Marc Andries (dlgation au contrle sur place), Guillaume Cassin (direction du
contrle des tablissements mutualistes et entreprises dinvestissement), Ayoub Bahhaouy, Franois
Philippe et Yannick Foratier (direction des contrles spcialiss et transversaux) ;

- Pour lOrganisation et Information de la Banque de France, par Andres Lopez Vernaza et Franck
Rigodanzo.

LES RISQUES ASSOCIS AU CLOUD COMPUTING

Les systmes dinformation sont un lment
stratgique du bon fonctionnement et de la
stabilit des secteurs de la banque et de
lassurance. Cest aussi un domaine en volution
constante, sous leffet du renouvellement des
techniques et des offres de solution.

dveloppements des risques associs au Cloud

computing.

Parmi les volutions rcentes, le dveloppement

dune nouvelle forme de grance de
linformatique,
le
Cloud
computing
( informatique en nuage ), est devenu un sujet
dattention pour lAutorit de contrle prudentiel
(ACP).

Lexpression Cloud computing recouvre diffrents

types de services, susceptibles de continuer
voluer dans le temps avec lapparition de
nouvelles solutions techniques. Pour viter dtre
contraint par un cadre pouvant rapidement
devenir obsolte, le SGACP a choisi une
dfinition sappuyant sur la combinaison de
diffrents critres, dont ceux proposs par le
National Institute of Standards and Technology
amricain (NIST). Les entreprises interroges ont
confirm quelles partageaient les lments de
dfinition ainsi proposs.

Ce type de service consiste dporter chez un

prestataire le traitement de masse de donnes
et/ou logiciels et y accder par un rseau
comme Internet. En France, lAgence Nationale
de Scurit des Systmes dInformation (ANSSI),
a abord le Cloud computing dans son Guide
pour lexternalisation (2010) et travaille un
encadrement du Cloud via un dispositif de
certification. La Commission Nationale de
lInformatique et des Liberts (CNIL) a publi en
2012 des recommandations pour les entreprises
qui envisagent de souscrire des services de
Cloud computing. Dans le secteur financier
ltranger, la Federal Financial Institutions
Examination Council a publi un avis
( Statement ) en juillet 2012. La Monetary
Authority of Singapore a mis jour ses
Technology Risk Management Guidelines en juin
2012 pour y intgrer le Cloud computing. En
Europe, la Banco dEspaa et la De
Nederlandsche Bank ont publi leurs positions
sur le Cloud computing.
Dans ce contexte, le Secrtariat gnral de
lAutorit de contrle prudentiel (SGACP) a
souhait, avec une courte enqute, engager un
dialogue avec les entreprises des secteurs de la
banque et de lassurance (entreprises) sur le
primtre du Cloud computing, la mesure des
engagements dans ce type de solutions,
lapprciation des risques et les politiques de
scurit adoptes, tout comme ladquation et
les textes rglementaires existants. Quatorze
entreprises du secteur de lassurance et douze
du secteur de la banque ont rpondu cette
enqute, donnant ainsi une vue reprsentative
sur ces sujets.
La prsente tude restitue la profession les
rponses apportes lenqute transmise sous
la forme dun questionnaire (cf. annexe). Elle
formule un certain nombre de bonnes pratiques
dont le SGACP examinera la mise en uvre,
tout
en
suivant
avec
attention
les

1. Caractristiques du Cloud computing

1.1.

lments de dfinition

Cette dfinition, rappele ci-dessous, distingue le

concept gnral du Cloud computing, les types
de service proposs, et les diffrents modles de
relation entre lentreprise cliente et le prestataire :
Concept : le Cloud computing consiste
dporter sur des serveurs distants des donnes
et
des
traitements
informatiques
traditionnellement localiss sur des serveurs
locaux, voire sur le poste de lutilisateur. Il permet
laccs via un rseau, gnralement entendu
comme Internet, la demande et en libre service,
des ressources informatiques virtualises et
mutualises habituellement factures lusage.
Services : le Cloud computing fournit dans
ses dclinaisons les plus courantes trois types de
ressources.
LIaaS (Infrastructure as a Service) offre une
infrastructure informatique comme de la
puissance de calcul, des machines virtuelles
incluant un systme dexploitation, du stockage,
des services de sauvegarde.
Le PaaS (Platform as a Service) fournit une
plateforme de dveloppement et/ou dexcution
intgre, reposant sur un catalogue de
composants logiciels et techniques standardiss
dont linfrastructure sous-jacente est transparente
pour lutilisateur.
Le SaaS (Software as a Service) est une
solution applicative rpondant un domaine
dutilisation prcis supportant une fonction mtier
(gestion de la relation clientle, gestion
financire, ) ou un service transverse
(messagerie, outils collaboratifs, ).
5

Modles : le Cloud computing est dploy

selon quatre modles :
Les clouds privs internes sont grs au sein
de lentreprise pour ses besoins et sur des
infrastructures lui appartenant.
Les clouds privs externes sont ddis aux
besoins dune seule entreprise ou dun groupe
dentreprise mais hbergs chez un prestataire.
Les clouds publics sont grs par une
entreprise spcialise qui loue ses services de
nombreuses entreprises. Le mot public
renvoie ici lacception gnralement utilise par
les acteurs du Cloud computing, c'est--dire un
environnement ouvert et multi-clients.
Enfin, les clouds hybrides combinent de
manire dynamique les clouds publics et privs.
Le cloud public est une forme particulire de
grance de linformatique, pour laquelle la
prestation est mutualise pour un grand nombre
de clients, et lemplacement des donnes dans le
nuage nest gnralement par port la
connaissance des clients.
LACP
est
videmment
principalement
attentive aux dveloppements de prestations
pour les banques et assurances sous la
forme de clouds publics ou hybrides : en effet,
ceux-ci mutualisent les services offerts
lensemble de leurs clients et/ou leurs
utilisateurs internes, crant un risque de
permabilit des donnes entre les diffrents
bnficiaires Mais il en va de mme pour tout
modle de cloud priv externe dans lequel il
existerait une mutualisation du service fourni
une entreprise contrle par lACP avec ceux
proposs dautres clients, mme des secteurs
de la banque et de lassurance, comme par
exemple
dans
les
clouds
dits
communautaires ,
qui
partagent
des
ressources entre un nombre limit de
partenaires.
1.2.
Prcisions apportes aux critres de
dfinition
Tout en validant les lments de dfinition
proposs par le SGACP, certaines entreprises
ont souhait les complter par quelques
prcisions concernant les caractristiques
propres du Cloud computing.
La
mutualisation
de
ressources
gographiquement disperses. Les grands
groupes internationaux, tant dans le secteur de
lassurance que de la banque, identifient le Cloud
computing comme un moyen de mutualiser

fortement leurs ressources sans dveloppements

spcifiques. Le dploiement multi-pays et multientits en serait grandement simplifi. Un grand
bancassureur international indique en outre que
cette pratique permet la rpartition des donnes
sur des centres informatiques disperss
gographiquement ainsi que la disponibilit, en
support, de nombreux personnels galement
disperss gographiquement.
Une plus grande adaptabilit des ressources.
Un groupe bancaire insiste sur la notion
dlasticit du service et sur le fait que le Cloud
computing permet de disposer automatiquement
des ressources informatiques demandes. Un
groupe dassurance considre mme que
ladaptabilit en temps-rel du systme
dinformation grce au Cloud computing est une
caractristique majeure. noter que la notion de
libre service, qui permet de minimiser les
interactions entre le client et le fournisseur dans
la mise disposition dudit service (offres prtes
lemploi selon des niveaux de services), nest pas
adopte par tous : un groupe dassurance
considre que ce terme nest pas totalement
appropri car lutilisation du Cloud computing
ncessite la signature pralable dun contrat.
La multiplication des dfinitions du Cloud
computing montrerait selon une entreprise que la
notion nest pas encore stabilise, notamment
concernant la caractristique fragmentation des
donnes .
1.3.
Distinction entre Cloud computing et
infogrance classique
Une grande majorit des entreprises considre
que le Cloud computing est un mode particulier
dexternalisation de linformatique et quil
prsente donc avec linfogrance classique de
nombreux caractristiques et risques communs.
Un grand groupe bancaire avance mme que les
exigences des banques vis--vis du Cloud
computing peuvent ramener de facto les
prestations de ce type une infogrance
classique.
Toutefois, lopinion trs majoritairement partage
avec le SGACP est que le Cloud computing
prsente des caractristiques de risque
suprieures linfogrance classique.
Parmi les caractristiques spcifiques, la
souplesse de dimensionnement et dutilisation
beaucoup plus leve (matrialise notamment
par la facturation lusage) que dans
linfogrance classique est souvent mise en
exergue. En contrepartie, le Cloud computing
signe une perte dinfluence de la part des
entreprises clientes vis--vis des prestataires
informatiques :
6

- dune part, les acteurs du Cloud computing ne

sengagent que rarement sur des rsultats mais
prfrent recourir une obligation de moyens, la
faiblesse voire labsence de conventions de
service (en anglais SLA service level
agreement ) dans le monde de linformatique en
nuage en tant un marqueur flagrant,
- dautre part, une perte de flexibilit dans la
construction de loffre de service est mise en
avant : l o linfogrance permet dobtenir une
rponse sur mesure aux attentes exprimes, le
Cloud computing ne propose, au moins pour
linstant, que des offres gnriques,
- enfin, la crainte dune perte de contrle
partielle du systme dinformation est clairement
exprime, que ce soit dans la matrise des
donnes (localisation et rsilience du service
inconnues) ou dans leur dpendance lgard
des prestataires. Ainsi, le maintien en conditions
oprationnelles est dsormais systmatiquement
effectu par le prestataire pour les services de
Cloud computing : les tches de pilotage des
volutions, recettes et rgles de planification sont
la charge du fournisseur, de mme pour la
ralisation des montes de version, qui sont
parfois ralises sans mme en informer les
organismes clients.

2. Mise en uvre de services de Cloud

computing
2.1.

Enjeu conomique

Le SGACP a souhait mesurer le niveau

dapptence
vis--vis
de
ces
services,
notamment en raison dun ventuel enjeu
conomique sur lequel les points de vue
paraissent partags.
Certains reconnaissent les rductions de cot
(notamment par la facturation lusage) et des
dlais de mise en uvre, tout en alertant sur les
cots cachs qui au final peuvent rduire cet
avantage. Un groupe bancaire international
signale galement que le Cloud computing peut
faciliter les changes entre partenaires, par
exemple pour des services comme la
synchronisation
des
oprations
dexport
(workflow de crdit documentaire). Une autre
entreprise espre un allgement des cots
dinfrastructures et de mise en uvre ainsi
quune facilit de gestion de son plan de
continuit dactivit.
Sans nier ces avantages conomiques
thoriques, dautres considrent que ce sont les
risques associs aux pratiques de Cloud
computing qui doivent guider la dcision dy
recourir ou non.

2.2.

Avantages attendus

Des solutions plus souples. La rapidit de mise

en uvre, la facilit de gestion, la flexibilit et
llasticit des solutions de Cloud computing sont
les principaux lments mis en avant. Certains
soulignent la disponibilit, les performances, la
grande accessibilit et la mobilit accrue des
solutions de Cloud computing puisquune simple
connexion Internet suffit. Les solutions cloud
seraient ainsi avantageuses dans les domaines
ncessitant une forte puissance de calcul sur des
priodes ponctuelles, tant du ct de lassurance
et de la rassurance (modlisation et tarification)
que pour la banque de march (calculs de
risque). Un assureur cite la ralisation de
dveloppements informatiques ayant une dure
de vie limite comme potentiellement dans la
cible du Cloud computing au regard des dlais de
mise en uvre requis. Quelques uns indiquent
toutefois que cette souplesse est encore limite :
les offres de Cloud computing seraient pour
linstant prvues pour rester standardises, voire
ne seraient pas encore bien dfinies ou matures,
les retours dexprience tant encore peu
nombreux.
Un meilleur accs aux technologies de pointe.
Les solutions de Cloud computing sont souvent
associes aux dernires technologies fondes
sur des lments standards et interoprables.
Les entreprises qui considrent quelles nont pas
la taille critique, les ressources ou les expertises
ncessaires y voient la possibilit de disposer
dun environnement en permanence conforme
ltat de lart et aux exigences des clients et
rgulateurs. Pour une petite banque, le Cloud
computing permet dutiliser des centres
informatiques rcents et disposant dune bonne
performance nergtique. Concernant les
applications offertes dans le Cloud computing, un
certain nombre dentreprises esprent bnficier
des dernires fonctionnalits et des dernires
mises jour mais aussi dune meilleure
cohrence des fonctionnalits grce la
mutualisation et la centralisation. Un grand
groupe international (banque et assurance)
considre toutefois que lintrt du Cloud
computing est limit aux services utilitaires et
faible niveau de risque et que cela sapparente
des solutions sur tagre .
Une diminution des cots informatiques. Le
Cloud computing prsenterait aussi un avantage
en termes de cot, notamment grce au
paiement lusage et la facturation en cots
complets. Plus largement, certains annoncent
une volution du modle conomique et une
baisse des investissements, considres comme
un avantage par les entreprises ayant des
contraintes
budgtaires
fortes
sur
les
investissements mais moindres sur les budgets
de fonctionnement. Un grand bancassureur
7

international voit dans le Cloud computing la

possibilit de dgager linformatique interne dun
certain nombre de charges de dveloppement et
dexploitation faible valeur ajoute afin de
concentrer ses ressources sur les besoins plus
forte valeur ajoute. Un autre y voit la possibilit
dallger
ses
charges
de
gestion
dinfrastructures.
Largument de lavantage financier doit toutefois
tre relativis. En effet, en sens inverse, sont mis
en avant les cots cachs des solutions de Cloud
computing, en raison des difficults interfacer
et intgrer le service souscrit avec
linfrastructure informatique de lentreprise, ainsi
que les impacts en termes de ressources
humaines et processus des solutions SaaS.
Lavantage supposment confr par le Cloud
nest toutefois pas unanimement apprci : un
grand tablissement bancaire et un organisme
dassurance ne voient dans le Cloud computing
aucun intrt.
2.3.
Risques
perceptibles
pour
secteurs de la banque et de lassurance

les

Les entreprises se sont tous montres sensibles,

des degrs divers toutefois, aux risques
spcifiques gnrs par lutilisation du Cloud
computing. Ces risques constituent autant de
freins lutilisation de cette technologie,
particulirement dans le cas des Clouds publics
ou hybrides. Le principal obstacle semble
prendre sa source dans la trs faible marge de
ngociation lors de la contractualisation de loffre
de service, majoritairement gnrique. Ainsi, les
organismes peinent obtenir des amnagements
spcifiques corrigeant les risques quils ont
identifis.
Le risque datteinte la confidentialit des
donnes est celui qui est trs majoritairement
mis en avant. La faiblesse des offres de scurit
(notamment le chiffrement la vole et la gestion
des cls cryptographiques) est gnralement
cite en premier. Labsence de connaissance de
la localisation des donnes ou le droit daccs
2
aux donnes au profit de certains tats est
considre comme un risque rglementaire fort :
il est difficile de sassurer de la conformit aux
exigences rglementaires, telles que celles
2

Le cas du Patriot Act des Etats-Unis dAmrique est souvent

cit en exemple. Il permet aux services de scurit
amricains daccder des donnes caractre personnel
sur leur territoire ou ltranger si elles sont dtenues par des
socits amricaines. Par ailleurs, un rapport rcent du
parlement europen (2012) indique que la loi FISAA
( Foreign Intelligence Surveillance Amendments Act ),
spcifiquement cible sur les donnes de personnes non
amricaines situes lextrieur des Etats-Unis, est
susceptible de donner un droit daccs aux agences
gouvernementales amricaines toutes les donnes
stockes dans le nuage.

rsultant de la rglementation en matire de

secret bancaire et de protection des donnes
personnelles et plus largement en matire de
proprit
intellectuelle,
au
sein
dune
infrastructure mutualise et potentiellement
accessible par les rgulateurs locaux. Ce risque
serait encore accru en-dehors de lUnion
Europenne. Un grand groupe international y voit
mme un risque de souverainet (si les donnes
et traitements des entreprises franaises
ntaient plus situs en France). La difficult
matriser la scurit des donnes sur toute la
chane, compte tenu du nombre de parties
prenantes susceptibles dintervenir dans le cadre
de lexcution de la prestation, est galement
releve. Il en est de mme de la difficult
sassurer que le prestataire ne peut pas lire des
donnes confidentielles travers les journaux
dvnements de ses systmes. Les difficults
dintgration avec le systme dinformation de
lentreprise et le risque de multiplication des
clouds interfacs avec le systme dinformation
sont galement signals comme des obstacles
potentiels ; une banque considre mme que
linterconnexion entre son systme dinformation
et celui du prestataire de Cloud computing peut
crer une brche de scurit. Enfin, un autre
groupe bancaire pointe la difficult de sassurer
que le prestataire a dtruit les donnes en cas
darrt de la prestation.
Lindisponibilit des donnes et des
traitements est un autre risque gnralement
mentionn, avec une distinction entre la
ncessaire continuit des services et la notion de
disponibilit des services privilgie par les
fournisseurs de Cloud computing. Une entreprise
prcise que le fournisseur sengage sur un taux
de disponibilit mais que son non-respect nest
sanctionn que par des pnalits financires.
Des groupes dassurance voient en outre dans
lenchevtrement des prestataires un risque pour
lidentification du responsable du service et donc
une fragilisation du SLA. Plusieurs entreprises
indiquent au demeurant que lengagement
contractuel du prestataire de Cloud computing
sur la disponibilit du service doit tre relativis
puisque celui-ci ne peut garantir la puissance,
voire
la
disponibilit
dans
certaines
circonstances, du rseau Internet, qui est
pourtant un lment cl pour la disponibilit des
applications.
La perte dintgrit, quelle touche les donnes
ou les traitements, nest pas cite explicitement
mais transparat dans les rponses. Certains
craignent pour lintgrit globale de leur systme
dinformation en raison dune perte dexpertise
technique, voire dune dpendance un
fournisseur. Enfin, le risque de non-rversibilit
ou denfermement (lock-in) est peru comme
important, notamment dans la mesure o il est
difficile dvaluer la capacit du prestataire
8

restituer les donnes dans un format exploitable.

Un groupe bancaire prcise quil sera difficile de
r-internaliser une prestation si les outils et
formats du prestataire sont propres ce dernier.
Les faiblesses du Cloud computing dans le
domaine du contrle et de la preuve sont
galement identifies par un grand nombre. Est
mise en avant la difficult auditer un
prestataire, voire en obtenir un droit daudit, en
raison de la multiplication des intervenants et de
leur localisation gographique. Plus globalement,
la difficult mettre en place un dispositif de
contrle interne adquat est souligne par un
grand bancassureur international. Des groupes
dassurance constatent laccroissement des
risques de non-conformit, en raison notamment
de la localisation des donnes et de
lidentification de la loi applicable.
Mme si ce type de prestation prsente donc des
risques particuliers, la trs grande majorit des
entreprises a prcis utiliser les mthodes
danalyse de risques habituelles pour lanalyse
des solutions de Cloud computing. Certains ont
toutefois complt leur mthodologie avec des
scnarios de risques propres au Cloud
computing. Un grand groupe bancaire considre
par exemple quun risque darchitecture est
intrinsque au Cloud computing en raison de son
intgration au systme dinformation de
lentreprise. Dans le mme ordre dide, un autre
met lide quen raison de la mutualisation,
lexploitation dune faille de scurit sur un client
pourrait impacter les autres clients hbergs
chez le fournisseur.
A contrario, un petit tablissement bancaire a
prcis que le Cloud computing pouvait lui
permettre daccder un niveau de scurit
suprieur celui quil pourrait mettre en uvre
lui-mme.
2.4.
Usage frquent pour les domaines de
gestion et de support informatique
Le niveau dutilisation des solutions de Cloud
computing est finalement cohrent avec les
avantages et inconvnients souligns. Ces
3
solutions, dores et dj couramment utilises ,
sont toutefois pour linstant rserves des
activits support, mme si certaines socits
sont prtes en faire un usage plus large.
En trs grande majorit, le Cloud computing
est utilis dans des domaines de gestion
considrs comme hors du cur de
mtier , sans quil soit toutefois donn de
3

Environ la moiti des entreprises dassurance ayant

rpondu utilisent une solution Cloud, dont les deux tiers
correspondent un Cloud priv. Ces informations ne sont pas
directement disponibles pour les banques mais par
recoupement les ordres de grandeur semblent similaires.

dfinition cette expression, comme la gestion

des ressources humaines, les finances (notes de
frais), les achats ou la communication externe ou
interne
(rseaux
sociaux
dentreprise,
messagerie, calendrier, web confrence, partage
de documents). Des grands groupes dassurance
prcisent que les applications qui peuvent
constituer un avantage concurrentiel nont pas
vocation tre positionnes dans le cloud.
Dautres entreprises disent recourir au Cloud
computing selon la confidentialit et la
localisation des donnes, tout en reconnaissant
ne pas avoir dassurance du respect de la
confidentialit des donnes notamment hors
dEurope.
Toutefois, un usage pour des domaines plus
sensibles se fait galement jour. Un assureur
indique utiliser une solution SaaS hybride pour sa
comptabilit alors quun autre hberge dans le
cloud des donnes de conformit rglementaire,
comptables, financires, de trsorerie et
dinvestissement. Plusieurs grands groupes
bancaires utilisent des services de Cloud
computing dans le domaine de la gestion de la
relation clientle de la banque de dtail, de la
banque de financement et dinvestissement et
des services financiers. Un groupe bancaire
dclare recourir au Cloud computing en matire
de prescription immobilire. Dautres grands
groupes font appel au Cloud computing pour des
prestations dhbergement de sites Internet
institutionnels, voire pour des prestations lies
la scurit informatique (filtrage des accs
Internet). Certains assureurs indiquent ne pas
sinterdire de rpondre des besoins
dinfrastructure des fins de dveloppement ou
de test (phase projet) par des solutions de Cloud
computing.
2.5.
Dcision dengagement
prestation de Cloud computing

dans

une

Les modalits dadoption du Cloud computing

semblent diffrentes dans le domaine de
lassurance et de la banque.
Le choix de recourir au Cloud computing en
assurance impliquerait, dans la trs grande
majorit des cas, la direction gnrale ou le
comit de direction. Ladoption du Cloud
computing sur des donnes sensibles ou cur
de mtier ncessiterait galement une
validation de la direction gnrale. Un autre
assureur indique que cette dcision serait du
ressort de sa direction des systmes
dinformation (DSI).
Du cot bancaire, le processus dadoption du
Cloud computing suit les processus dvolution
du systme dinformation avec une initiative des
mtiers ou fonctions support et un pilotage du
projet par la DSI aprs analyse de risques. Dans
9

ce processus, le Responsable de la Scurit des

Systmes dInformation (RSSI) et les services
informatiques conseillent les mtiers et
examinent les conditions dintgration de la
prestation au sein du systme dinformation. Un
grand groupe bancaire indique quen cas
dvolution importante, le comit stratgique
serait sollicit. Un groupe mutualiste prcise que
la dcision dengagement dans une prestation de
Cloud computing ne pourrait provenir que de sa
DSI. Une petite banque indique que cette
dcision serait prise par son directeur gnral en
concertation avec le RSSI.

3. Mesures daccompagnement requises

La ncessit dun environnement juridique
davantage scuris est clairement un point
daccord, les offres actuelles de Cloud computing
semblant offrir peu de garantie sur le respect des
dispositions relatives la protection des donnes
personnelles.
Aussi,
certaines
clauses
contractuelles comme celles permettant de
restreindre la sous-traitance en dehors de lUnion
europenne, une clause daudit, une clause
exigeant le stockage des donnes dans lUnion
europenne semblent ncessaires. Pour dautres
entreprises, il conviendrait dobtenir des
engagements plus forts du prestataire sur la
protection et la confidentialit des donnes
personnelles, leur localisation et la rversibilit
de la prestation. Un grand groupe bancaire et
une compagnie dassurance pencheraient pour
4
une protection de type Safe harbor moins
quune offre europenne ne se dveloppe. Deux
grandes entreprises du secteur de lassurance
privilgieraient une implantation europenne des
donnes. Un autre groupe bancaire international
aurait une prfrence pour des fournisseurs
franais ou europens. A contrario, certaines
entreprises
du
secteur
de
lassurance
considrent que lenvironnement juridique
classique appliqu aujourdhui linfogrance
est suffisant, le Cloud Computing ntant quune
forme particulire dexternalisation informatique.
Parmi les mesures techniques de scurit, le
chiffrement systmatique des donnes est la
4

LUE interdit que les donnes personnelles de ses citoyens

sortent de son territoire. Mais les tats-Unis ont obtenu que
les donnes puissent sortir condition doffrir un
environnement de protection quivalent et le dpartement du
Commerce a mis en place un dispositif de certification des
entreprises amricaines qui voudraient hberger des donnes
personnelles europennes. Ce dispositif, connu sous le nom
de Safe Harbor , permet aux entreprises amricaines
telles Google, Microsoft ou Amazon de travailler en Europe
sans y avoir de centres informatiques. Toutefois il ne cre pas
dexception au Patriot Act ni la loi FISAA : les prestataires
amricains, mme sils respectent le Safe Harbor , sont
tenus de remettre aux agences gouvernementales les
donnes quelles demanderaient dans les conditions prvues
par ces lois.

mesure qui revient le plus souvent, notamment

pour protger les donnes dont la localisation
nest pas connue. Un grand groupe bancaire
prcise toutefois que si le chiffrement des
donnes lors du transport est obligatoire, il est
plus complexe mettre en uvre pour le
stockage. De grands groupes internationaux
souhaitent que le chiffrement soit mis en uvre
par le dploiement dune infrastructure cls
publiques qui ne serait pas gre dans le cloud.
Un grand
groupe
international (secteur
assurance et banque) considre que le
chiffrement nest utile que pour les donnes
sensibles (sans toutefois en donner de dfinition)
et que lanonymisation peut tre utilise dans les
environnements hors production. Des assureurs
souhaitent que les habilitations soient gres par
le donneur dordre et exigent le cloisonnement
des donnes entre les diffrents clients du
fournisseur.
Concernant les mesures techniques permettant
dviter la perte de donnes, la
rponse
majoritaire est la mise en place dun plan de
continuit dactivit avec une rplication des
donnes sur des sites distincts. Un grand
groupe bancaire rappelle limportance dun
secours hors rgion. Un autre groupe bancaire
veut tester rgulirement les fonctions de
sauvegarde et sassurer que la copie est distante
du site primaire. Cet tablissement recommande
de disposer dun plan de secours test par un
organisme indpendant.
La ncessit dauditer rgulirement le
prestataire et le service est mise en avant dans
la quasi-totalit des rponses. Un grand groupe
international considre mme que laudit est un
pralable la souscription du service avec le
prestataire. Un grand nombre dentreprises
rappellent les bonnes pratiques constitues par
lobtention des rsultats daudit des prestataires,
la ralisation daudits par lentreprise, la
ralisation de tests dintrusion et de vulnrabilit
(mme si certains signalent toutefois que cela
nest pas toujours possible sur un cloud public).
Les entreprises attendent une transparence de la
part du fournisseur sur ses rsultats daudits
internes mais aussi sur ses exercices de secours
et ses incidents. Certains pensent que la
certification du prestataire et laccs ses
rapports de certification peuvent rpondre aux
besoins de contrle. Une entreprise attend la
mise en place de labels ou de certifications qui
garantiraient que la prestation se droule sur une
zone gographique identifie.
Beaucoup insistent sur la ncessit pour le
prestataire de sengager sur la continuit du
service
(dure
d'indisponibilit
maximale
accepte et perte de donnes maximale
admissible), sur la localisation et la traabilit du
stockage des donnes, sur le cloisonnement des
10

donnes en particulier pour un cloud public. Les

entreprises prcisent que tous ces lments lis
la prestation de Cloud computing doit faire
lobjet dun Service Level Agreement. Un grand
bancassureur international considre que le
renforcement des obligations du prestataire doit
se faire sur la base dune analyse de risque
pralable. Un autre groupe international (secteur
banque et assurance) propose que le prestataire
informe six mois lavance son client dun
changement de localisation des donnes et
impose au prestataire une information en cas
dincident.
La ncessit dobtenir une garantie du prestataire
sur la rversibilit de la prestation (en particulier
pour un SaaS) est rappele, considrant quune
clause contractuelle, parfois dnomme plan de
rversibilit, doit tre incluse. Ce plan doit dcrire
le format des donnes restitues, dfinir les
conditions de restitution de ces donnes, traiter
la question de leur proprit et de leur
destruction et dfinir le dlai de restitution. Un
grand groupe international prcise que pour
sassurer de la rversibilit, il faudrait disposer
des moyens de rcupration massive des
donnes, tester rgulirement les outils et
maintenir des comptences en interne. La
rversibilit peut prendre la forme dun transfert
de donnes un nouveau prestataire de Cloud
computing sans obligatoirement passer par la rinternalisation ; un groupe dassurance considre
que la portabilit vers un autre fournisseur est le
plus simple grer.

4. Adquation
rglementaire

de

lenvironnement

Les avis sont partags sur ladquation de

lenvironnement rglementaire tant du cot
bancaire que du ct de lassurance.
Du ct bancaire, pour plusieurs tablissements,
les obligations de contrle des prestataires droit
daudit notamment rsultant du rglement
CRBF n 97-02 sont difficiles tenir,
particulirement dans le cas des Clouds publics.
Un grand groupe international indique quil
faudrait exiger de la part du prestataire la
conformit aux rgles nationales assurant la
protection des donnes personnelles pour
chacun des pays dans lesquels il a des
ressources informatiques. Deux grands groupes
considrent dailleurs que lvolution de la
rglementation dpasse le cadre franais et
mme europen, puisquun fournisseur de Cloud
computing peut exercer son activit depuis
nimporte quel pays dans le monde ; dans ce
cadre, plusieurs socits penchent pour un
accroissement de la responsabilit du prestataire
(notion de coresponsabilit du traitement) comme
le prvoit le projet de rvision de la directive

95/46/CE sur la protection des donnes . Enfin,

un grand groupe international juge que le Cloud
computing
nest
compatible
avec
la
rglementation que si les offres sont brides
avec des exigences de localisation, de rsilience
et de contrle mais, ces contraintes lui feraient
perdre de son intrt.

Du ct assurance, un organisme estime que les

dispositions de larticle R 336-1 du Code des
assurances, titre dexemple, ne contredisent
pas lutilisation raisonne du Cloud computing.
Toutefois, la plupart des organismes considrent
quavant de permettre une gestion des donnes
caractre personnel, les offres de Cloud
computing devront se conformer aux dispositions
figurant dans la loi Informatique et Liberts, une
prcision des responsabilits devant tre
apporte notamment pour les cas de soustraitance dmultiplie. Certains assureurs
souscrivent
galement

lide
dun
accroissement de la responsabilit du prestataire
dans la gestion du traitement. Un groupe
souhaiterait que les autorits mettent en place un
processus de labellisation des sous-traitants
offrant des services de Cloud computing. Enfin,
un
assureur
considre
que
le
cadre
rglementaire est trs strict pour les activits
soumises agrment (donnes de sant) et doit
rgulirement voluer avec les technologies.

5. Principaux enseignements et bonnes

pratiques pouvant tre dgags.
Au vu des enseignements tirs de ces premires
analyses, certaines bonnes pratiques paraissent
se dgager en matire de recours des
prestations de Cloud computing dans les
secteurs de la banque et de lassurance.
Tout dabord, une dfinition multicritres, inspire
de celle donne par le National Institute of
Standards and Technology, et qui tient compte
de la nature volutive de ces services (apparition
de nouveaux prestataires, de nouvelles offres,
) peut tre retenue. Cette dfinition
multicritres prsente lavantage de bien
distinguer les types de services et leurs risques
associs.
LACP porte une attention particulire aux
prestations susceptibles dtre mises en uvre
par les socits des secteurs de la banque et de
lassurance et qui reposeraient en tout ou partie
sur des solutions de clouds publics ou hybrides,
cest--dire des solutions proposes par une
5

A contrario, le rglement CRBF n 97-02 est suffisamment

large et bien adapt pour un tablissement. Un autre groupe
bancaire ajoute mme que lenvironnement rglementaire est
adapt et convient dj linfogrance.

11

entreprise spcialise destination dun grand

nombre de clients, ou dans lesquelles la
localisation des donnes est inconnue, ou
lorsque la prestation est accessible depuis le
rseau Internet. Dans les points qui suivent, cest
ces diffrents cas quil est fait rfrence par
lexpression Cloud computing.
Les prestations de type Cloud computing se
distinguent de lexternalisation classique des
prestations informatiques de type infogrance. Le
Cloud computing transforme les fonctions
Systmes dInformation (SI) de manire
permanente, quil sagisse des caractristiques
des services dlivrs (alignement sur celles du
Cloud
principalement
dans
un
objectif
damlioration de la qualit du service rendu) ou
de lorigine de ces services (externalisation, en
premier
lieu
afin
de
rduire
les
cots dinvestissement).
La maturit grandissante des offres du march
est susceptible de conduire de nombreuses
entreprises vouloir recourir au Cloud
computing. Il apparait ensuite ncessaire
danticiper les changements venir travers
lintgration du Cloud computing dans les
stratgies dvolution des systmes dinformation
des entreprises qui devra en particulier couvrir la
dfinition dune politique dentreprise claire
relative la nature des donnes et des
traitements quil est acceptable dexternaliser.
Les risques lis au Cloud computing tant
nombreux et nouveaux (sans quun recul
suffisant soit disponible), lutilisation de services
cloud ne devrait toujours rsulter que de la
dmonstration que les avantages quils apportent
valent les risques pris. La question centrale de
toute rflexion sur lutilisation du Cloud
computing est la matrise des informations et leur
degr de sensibilit.
En termes dorganisation, le Cloud computing
est un vecteur de transformation majeur des
processus oprationnels, de lallocation des rles
et responsabilits, et donc de lorganisation des
fonctions SI elles-mmes mais aussi des
relations entre la fonction SI, le RSSI les
diffrents mtiers. Lintroduction du Cloud
computing va galement avoir un impact majeur
sur les profils ncessaires au sein des fonctions
SI et pose donc un problme de gestion des
comptences.
Au-del des questions dorganisation et de
comptences que soulve le recours au Cloud
computing, les risques spcifiques qui sajoutent
aux risques classiques engendrs par toute
externalisation
informatique
doivent
tre
parfaitement matriss dans les domaines de la
banque et de lassurance. Les singularits du

Cloud computing visent notamment les critres

de scurit de linformation :
Confidentialit des donnes : la protection
des donnes sensibles et personnelles, de mme
que le respect du secret bancaire, sont
particulirement difficiles au sein dinfrastructures
mutualises et potentiellement accessibles aux
rgulateurs locaux. Le manque de visibilit sur la
localisation des donnes et donc sur la
rglementation applicable ainsi que le nombre de
parties prenantes dans une solution de Cloud
computing accentuent ce risque. La question de
la confidentialit des donnes se pose galement
en termes dassurance de leur destruction
effective en cas darrt de la prestation, y
compris sur les sauvegardes dans des sites qui
peuvent tre disperss ;
Disponibilit
des
donnes
et
des
traitements : la dispersion des donnes ainsi
que la multiplicit des intervenants fragilisent
lentreprise dans sa capacit sassurer de ces
critres. La relation asymtrique qui lie le
fournisseur son client, caractrise notamment
par la difficult dinclure des engagements
contraignants (clauses de pnalit) sur un niveau
minimum de disponibilit, peut renforcer ce
risque ;
Intgrit des donnes : le recours un
prestataire de Cloud computing cre un risque
datteinte lintgrit globale du systme
dinformation en raison de la perte dexpertise
technique, voire de dpendance au fournisseur.
Plus spcifiquement, le pilotage par lorganisme
client des prestations de type Cloud computing
est plus distant et restreint que dans les autres
cas dinfogrance, induisant dans la dure un
risque important de dpendance : perte de la
connaissance du systme dinformation et des
comptences attenantes et asservissement aux
technologies spcifiques du fournisseur, pouvant
empcher la rversibilit de la prestation ;
Contrle et preuve : le dploiement dun
dispositif de contrle interne adapt est rendu
complexe par les difficults mettre en place une
relation contractuelle quilibre, auditer le
prestataire
(multiplicit
des
intervenants,
localisation
gographique
potentiellement
mondiale, ) et identifier la rglementation
applicable aux donnes.
Urbanisme et organisation : le recours
une prestation informatique de type cloud est
susceptible de provoquer des problmes
dintgration dans le systme dinformation et
den diminuer moyen terme sa flexibilit et sa
capacit dvolution. Les difficults induites sont
la fois techniques (intgration potentiellement
inadquate dun composant trs standardis
12

dans un systme dinformation) et parfois

organisationnelles (capacit de lorganisation
informatique sadapter des volutions du
service Cloud parfois trs frquentes).
Tout en reconnaissant lintrt qui peut tre
trouv recourir des prestations de Cloud
computing, il est important de ne pas sengager
dans une telle solution sans avoir identifi les
risques associs afin den assurer une parfaite
matrise. A ce titre, la conformit la
rglementation existante en matire de contrle
interne (R. 336-1f du Code des Assurances, R.
211-28f du Code de la Mutualit et R. 931-43f du
Code de la Scurit Sociale ou rglement CRBF
n97-02) est un lment incontournable :
en matire dexternalisation de prestations
essentielles ou dautres tches importantes, il
nest pas vident que des fonctions considres
comme support ne soient pas en pratique
considrer comme essentielles ou importantes,
eu gard la place quelles prennent dans la
ralisation de certains services et pour la
continuit de lactivit (ressources informatiques
notamment) ;
sur la protection de la scurit et de la
confidentialit des donnes, les dispositions de la
rglementation trouvent sappliquer galement
aux services Cloud. Les services actuellement
mis dans le Cloud peuvent contenir des donnes
de la clientle, donc des informations
confidentielles, voire sensibles, et couvertes par
le secret professionnel (gestion de la relation
client, messagerie, archivage). Lapplication de
la rglementation doit donc se faire pas
simplement au vu du caractre fonction support
ou fonction mtier au sein de lentreprise,
mais au regard de la nature des donnes
susceptibles
dtre
places
dans
ces
environnements.
Lutilisation des services Cloud tend dsormais
se dvelopper, sous limpulsion des mtiers qui
apprcient la facilit dusage et la rapidit de
mise en uvre et lengagement dans ce type de
prestation se fonde parfois uniquement sur une
dcision du mtier utilisateur, aprs consultation
du Responsable de la Scurit des Systmes
dInformation. Au contraire, vu limportance des
risques, lengagement dans ce type de prestation
devrait systmatiquement impliquer les instances
dirigeantes de ltablissement, au titre de la
bonne gouvernance du systme dinformation.
Ces instances devraient se prononcer en
disposant du point de vue indpendant du
responsable de la filire risques et du RSSI sil
nappartient pas cette filire.
Lorsquelles concernent des activits essentielles
(et/ou confidentielles), la mise en uvre des

prestations Cloud doit saccompagner

mesures de matrise du risque adaptes :

de

Juridique : lencadrement contractuel de la

prestation est impratif. Les mesures de
protection des donnes mises en uvre par le
prestataire doivent tre values avant
souscription du service. Concernant la protection
des donnes personnelles, la prestation doit se
conformer la Directive europenne 95/46/CE et
plus largement aux rgles de protection de la
proprit intellectuelle.
Certains lments
transfrs dans le Cloud sont susceptibles
dentrer dans le capital de la proprit
intellectuelle de lentreprise et doivent faire lobjet
dune clause contractuelle. Par ailleurs, tout
changement dans la nature de la prestation doit
tre matris, y compris dans les versions
logicielles. Lentreprise cliente dune offre Cloud
doit mettre en place un pilotage contractuel
continu, en sappuyant sur des clauses de
pnalit actionner lors dinsuffisances dans le
service rendu par le prestataire. Enfin,
lencadrement
contractuel
doit
galement
permettre dobtenir la visibilit sur lorganisation
du prestataire, notamment en termes de soustraitance ventuelle ;
Technique : en labsence danonymisation,
les donnes confidentielles confies au
prestataire doivent tre chiffres lors du transport
ainsi que pendant le stockage. La solution de
chiffrement doit tre matrise par le propritaire
des donnes (ce qui implique que la gestion des
cls soit opre par lentreprise soumise au
contrle de lACP) et une attention particulire
doit tre porte la sgrgation des
environnements entre les entreprises clientes et
la gestion des habilitations ;
Contrle du prestataire : la capacit daudit
et le droit de le faire pour lACP est une clause
contractuelle essentielle toute prestation de
Cloud computing. La ralisation rgulire daudit
est attendue. La ralisation de tests dintrusion et
de vulnrabilit est ncessaire au contrle de la
prestation ainsi que laccs des traces daudit
pralablement identifies (le principe de
cloisonnement des donnes entre diffrents
clients sapplique galement ces traces). La
seule certification du prestataire ne doit pas tre
considre comme une mesure de matrise des
risques suffisante. Il est ncessaire de tenir jour
en permanence la liste des fournisseurs de
Cloud computing ainsi que la liste des prestations
qui leur sont confies ;
Continuit de la prestation : lexistence des
conventions de service (en anglais SLA service
level agreement ) est essentielle ; elles
permettent de formaliser les attentes de
lentreprise cliente. Des engagements prcis du
13

prestataire sont attendus en matire de continuit

dactivit (notamment la dure maximale
dinterruption et la perte de donnes maximale
admissibles). Le suivi de la prestation doit
sappuyer sur des reportings portant sur la
disponibilit, les incidents de scurit et la
localisation des donnes ;
Rversibilit de la prestation : les conditions
de rversibilit doivent tre dfinies lors de la
souscription du service. Les questions du format
des donnes restitues et de leur destruction
doivent tre couvertes dans le contrat liant les
parties. Cette capacit se dsengager du
prestataire entrane galement des contraintes
du ct de lorganisme client. Celui-ci doit en
effet sassurer de sa capacit reprendre
lactivit externalise ou la transmettre un
autre
prestataire
avec
une
ractivit
suffisante (gestion
de
la
connaissance
fonctionnelle, applicative et technique, capacit
positionner des ressources et les faire monter
en comptence, budget engager, etc.). La
dpendance au fournisseur de la solution de

Cloud computing
rgulirement ;

doit

tre

value

Intgration et urbanisme du systme

dinformation : la mise en place dune
organisation de la fonction informatique adapte,
prenant en compte toutes les contraintes
extrieures lentreprise induites par un service
Cloud, ainsi quune matrise de lurbanisme du
systme dinformation et de son volution, sont
des pr-requis pour le recours un service de
Cloud computing. Il est important que la
fourniture de services informatiques reste sous la
responsabilit de la fonction SI afin que celle-ci
soit mme de piloter effectivement la
cohrence dun systme dinformation largi.
Lensemble de ces bonnes pratiques sinscrivent
dans le cadre plus large dfini pour le contrle des
prestations essentielles externalises, y compris
linfogrance classique. Les attentes en termes de
gouvernance des dcisions, danalyse des risques,
de contractualisation, de pilotage et de contrle
interne des prestations de Cloud computing sont
donc similaires celles qui prvalent aujourdhui
dans le contrle prudentiel.

14

Annexe : Enqute relative au Cloud Computing (questionnaire envoy)

Objectif de lenqute

Cloud

les clouds publics , grs par des entreprises

spcialises qui louent leurs services de
nombreuses entreprises,
les clouds hybrides qui combinent de manire
dynamique les clouds publics et privs.

mesurer
si ce
concept,
cette
offre
technologique et commerciale, fait apparatre de
nouveaux risques dans les secteurs de la banque
et de lassurance,
apprcier si les politiques de scurit et les
textes rglementaires existant les couvrent
suffisamment,
recueillir des suggestions.

Le cloud public est une forme particulire de

grance de l'informatique, pour laquelle la
prestation est mutualise pour un grand nombre
de clients, et l'emplacement des donnes dans le
nuage n'est gnralement pas port la
connaissance des clients.

En consultant sur le thme

Computing , lACP souhaite :

du

La dfinition du cloud computing donne par

le Gartner est :
1. Caractristiques du cloud computing
Le cloud computing consiste dporter sur
des serveurs distants des donnes et des
traitements
informatiques
traditionnellement
localiss sur des serveurs locaux, voire sur le
poste de l'utilisateur. Il permet l'accs via le
rseau, la demande et en libre-service, des
ressources
informatiques
virtualises
et
mutualises gnralement factures lusage.
Le cloud computing fournit dans ses
dclinaisons les plus courantes des ressources de
type :
Infrastructure informatique, comme de la
puissance de calcul, des machines virtuelles
incluant un systme dexploitation, du stockage,
des services de sauvegardeOn parle alors
d Infrastructure as a Service (IaaS) ;
Plateforme de dveloppement et dexcution
intgre, reposant sur un catalogue de
composants logiciels et techniques standardiss
dont linfrastructure sous-jacente est masque
lutilisateur. Il sagit alors de Platform as a
Service (PaaS) ;
Solution applicative rpondant un domaine
dutilisation prcis supportant une fonction mtier
(CRM, gestion financire) ou un service
transverse (messagerie, outils collaboratifs)
dans le cadre dune offre de Software as a
Service (SaaS).
Il existe plusieurs formes de cloud computing :
les clouds privs internes, grs en interne par
une entreprise pour ses besoins sur des
infrastructures lui appartenant,
les clouds privs externes, ddis aux besoins
propres d'une seule entreprise ou dun groupe
dentreprise, mais hbergs chez un prestataire,

Cloud computing is a style of computing in

which scalable and elastic IT-enabled capabilities
are delivered as a service using Internet
technologies
Dans la suite de lenqute, les questions
portent sur les formes de cloud computing
faisant intervenir un prestataire (clouds privs
externes, clouds publics et clouds hybrides).
*
Question 1.1 Ces lments de dfinition
vous
paraissent-ils
pertinents
pour
caractriser
les
services
de
cloud
computing dans les secteurs de la banque et
de
lassurance ?
Voyez-vous
dautres
caractristiques permettant de prciser le
concept ?
Question 1.2 Dans les secteurs de la banque
et de lassurance, quels sont les principaux
lments diffrentiateurs entre le cloud
computing et une infogrance classique ?
Question 1.3 Compte tenu de vos
infrastructures
existantes,
le
cloud
computing peut-il rpondre un enjeu
conomique ?
Question 1.4 Ltat actuel des offres
commerciales de type cloud computing
vous parat-il prsenter des risques ?
(prciser)

Le mot public renvoie ici lacception gnralement

utilise par les acteurs du cloud computing, c'est--dire un
environnement ouvert et multi-client. Il ne fait donc pas
rfrence des initiatives de la sphre tatique.

15

2. Les cas dusage du cloud computing

Question 2.1 Quels sont pour vous les
avantages incitant aller vers une dmarche
de cloud computing dans vos domaines
dactivit ? Par quelle(s) direction(s) cette
dmarche est-elle initie ?
Question 2.2 Quels sont pour vous les
facteurs limitant ladoption du cloud
computing dans vos domaines dactivit ?
Question 2.3 Quels sont les applications ou
services informatiques pour lesquels vous
recourez ou vous pourriez recourir des
services de cloud computing :
Dans le domaine des fonctions supports
(RH, Comptabilit, Stockage des donnes,
archivage des donnes,) ?
Dans le domaine de la bureautique et des
outils collaboratifs (messagerie, site dquipe,
...) ?
Dans le domaine de la banque de dtail ?
Dans le domaine de la banque de
financement et dinvestissement ?
Dans les domaines spcialiss, tels que le
crdit aux particuliers ou aux entreprises ?
Dans le domaine de lassurance Vie ?
Dans le domaine de lassurance IARD ?
Dans le domaine de Rassurance ?
Dans le domaine spcialis de la Sant ?
Autres

t vos exigences contractuelles vis--vis du

fournisseur du service de cloud en termes de
scurit des donnes et des traitements
(confidentialit, intgrit, disponibilit) et
dauditabilit des services fournis ?
Question 3.3 Dans lhypothse contraire,
quelles seraient vos principales exigences
contractuelles relatives la protection des
donnes et la matrise de la prestation ?
Question 3.4 Comment considrez-vous les
diffrents types de cloud computing au
regard
des
obligations
relatives
aux
prestations essentielles externalises ?
Question 3.5 Lenvironnement rglementaire
encadrant la sous-traitance des activits
soumises agrment vous parat-il adapt aux
caractristiques des services de cloud
computing ?
Question 3.6 Lenvironnement lgal et
rglementaire (europen et national) relatif la
protection des donnes vous parat-il adapt
aux caractristiques des services de cloud
computing ?
Question 3.7 En cas dinsatisfaction des
services rendus, quels sont pour vous les
lments dterminants pouvant garantir le
succs dune r-internalisation (rversibilit,
) ?

Et pour quel type de cloud computing ?

4. Les risques et les mesures de scurit

associs au cloud computing

Question 2.4 A contrario, quels sont pour

vous
les
applications
ou
services
informatiques
pour
lesquels
vous
ne
souhaitez pas recourir un prestataire de
services cloud (expliquer) ?

La scurit des donnes est un enjeu primordial

pour les entreprises. Avec le cloud computing ,
la gestion de la scurit se trouve fortement
dlgue au prestataire pour couvrir les risques
portant sur :

Question 2.5 A quel niveau de la

gouvernance de votre entreprise ce type de
dcision est (serait) pris ?
Question 2.6 Votre tablissement offre-t-il
lui-mme
des
services
de
cloud
computing , par exemple ses clients ou
dautres tablissements ?
3. Lenvironnement
computing

juridique

du

cloud

Question 3.1 Quel est ltat de vos rflexions

concernant les contraintes juridiques pesant
sur
le
stockage,
potentiellement
extraterritorial, et la protection des donnes ?
Question 3.2 Si vous avez dj souscrit
une offre de cloud computing , quelles ont

- la confidentialit et lintgrit des donnes

(y compris lors de larrt de la prestation),
- la perte de donnes,
- la continuit de service,
- la qualit de service.
Question 4.1 Quelle mthodologie danalyse
de risque utilisez-vous ou utiliseriez-vous
pour identifier les objectifs de scurit
atteindre et dfinir les exigences de scurit ?
Question 4.2 Le besoin de protger les actifs
(donnes et applications ou services
dinfrastructure) ncessite des mesures de
scurit adaptes, lesquelles vous paraissent
incontournables pour :
-

Assurer la confidentialit des donnes ?

viter la perte de donnes ?
Assurer la continuit et la qualit de service ?
16

Question 4.3 Selon vous, la non matrise de

la localisation des donnes doit-elle induire
des mesures de scurit particulires ? Le
chiffrement des donnes avant quelles ne
soient hberges dans le cloud est-il une
ncessit et vous parat-il applicable ? Si oui,
pour quels lments considrez-vous quil
doive tre mise en uvre (transport des

donnes, stockage des donnes, modalits de

gestion des cls, etc.) ?
Question 4.4 En cas dusage de cloud
computing , comment contrlez-vous ou
contrleriez-vous le niveau de scurit ? La
possibilit de raliser un audit est-elle une
condition sine qua non lutilisation dun
service de cloud computing ?

17

18