Professional Documents
Culture Documents
Cloud computing
Sommaire
1. Caractristiques du Cloud computing..................................................................................... 5
1.1. lments de dfinition .............................................................................................................. 5
1.2. Prcisions apportes aux critres de dfinition ........................................................................ 6
1.3. Distinction entre Cloud computing et infogrance classique ..................................................... 6
2. Mise en uvre de services de Cloud computing ................................................................... 7
2.1. Enjeu conomique ................................................................................................................... 7
2.2. Avantages attendus ................................................................................................................. 7
2.3. Risques perceptibles pour les secteurs de la banque et de lassurance ................................... 8
2.4. Usage frquent pour les domaines de gestion et de support informatique ............................... 9
2.5. Dcision dengagement dans une prestation de Cloud computing ........................................... 9
3. Mesures daccompagnement requises.................................................................................. 10
4. Adquation de lenvironnement rglementaire ..................................................................... 11
5. Principaux enseignements et bonnes pratiques pouvant tre dgags. ............................ 11
Annexe : Enqute relative au Cloud Computing (questionnaire envoy) ............................... 15
Objectif de lenqute ................................................................................................................... 15
1. Caractristiques du cloud computing ................................................................................... 15
2. Les cas dusage du cloud computing .............................................................................. 16
3. Lenvironnement juridique du cloud computing ............................................................. 16
4. Les risques et les mesures de scurit associs au cloud computing .............................. 16
Rsum :
Les systmes dinformation sont un enjeu stratgique, aussi bien dans le secteur bancaire que dans le
domaine des assurances. Parmi les volutions rcentes, le dveloppement du Cloud computing est devenu
un sujet dattention.
1
Le Cloud computing (aussi appel informatique en nuage ou informatique nbuleuse ) est dfini
comme un mode de traitement des donnes dun client, dont lexploitation seffectue par linternet, sous la
forme de services fournis par un prestataire. Linformatique en nuage est une forme particulire de grance
informatique, dans laquelle lemplacement et le fonctionnement du nuage ne sont pas ports la
connaissance des clients .
Ce sujet est dactualit pour de nombreuses instances de rgulation. En France, lAgence Nationale de
Scurit des Systmes dInformation (ANSSI) travaille un encadrement via un dispositif de certification. La
Commission Nationale de lInformatique et des Liberts (CNIL) a publi en 2012 des recommandations pour
les entreprises qui envisagent de souscrire des services de Cloud computing. ltranger, plusieurs
autorits de contrle ont mis des avis (tats-Unis, Singapour, Pays-Bas), voire impos un systme
dautorisation pralable (Espagne) pour lutilisation de cette technologie.
Dans ce contexte, le Secrtariat gnral de lAutorit de contrle prudentiel (SGACP) a souhait, au travers
dune courte enqute, engager un dialogue avec les entreprises des secteurs de la banque et de lassurance
sur le primtre, lusage et les risques du Cloud computing. Quatorze entreprises du secteur de lassurance
et douze du secteur de la banque ont rpondu un questionnaire au dbut de cette anne, donnant ainsi
une vue reprsentative sur ces sujets.
Au terme de ces changes, il est dabord apparu utile de prciser la notion de Cloud computing en
proposant une dfinition multicritre fonde sur celle du National Institute of Standards and Technology
(NIST). Le SGACP propose donc de caractriser ces prestations de la faon suivante : le Cloud computing
consiste dporter sur des serveurs distants des donnes et des traitements informatiques
traditionnellement localises sur des serveurs locaux, voire sur le poste de lutilisateur ; il permet laccs via
le rseau, la demande et en libre service, des ressources informatiques virtualises et mutualises
gnralement factures lusage ; trois types de services sont proposs (IaaS Infrastructure as a Service,
PaaS Platform as a service, SaaS Software as a Service), dploys selon quatre modles (Cloud priv
interne, Cloud priv externe ou Cloud communautaire, Cloud public, Cloud hybride).
Les tablissements de crdit et organismes dassurance (entreprises) ayant rpondu au questionnaire ont
confirm que le Cloud computing prsente des risques suprieurs linfogrance classique. Les risques
identifis sont nombreux et couvrent la confidentialit des donnes, la disponibilit des donnes et
traitements, lintgrit (en particulier le risque de rversibilit ou enfermement) et enfin le domaine de la
preuve et du contrle. Ils saccordent sur la ncessit dun environnement juridique renforc, certaines
mesures techniques de scurit, la ncessit de contrler le prestataire, lengagement du prestataire sur la
continuit du service et, enfin, la ncessit dobtenir une garantie du prestataire sur la rversibilit de la
prestation.
En revanche, les avis divergent sur limportance de lenjeu conomique autour des services de
Cloud computing, nombre dentreprises faisant valoir que les considrations de scurit devaient lemporter
dans lanalyse de lintrt de telles prestations. Au demeurant, on constate quune grande majorit des
entreprises utilisent le Cloud computing dans les domaines de gestion considrs comme hors cur de
mtier , mme si un usage pour des domaines plus sensibles se fait galement jour. Il semble galement
que les modalits dadoption du Cloud computing soient diffrentes dans le domaine de lassurance et de la
banque.
lissue de cette premire analyse, qui devra tre affine au fil des volutions constates dans lusage et
les risques du Cloud computing, lACP encourage les entreprises quelle contrle prendre des mesures de
matrise des risques adaptes sur les points suivants :
tude ralise :
- Pour le SGACP, par Marc Andries (dlgation au contrle sur place), Guillaume Cassin (direction du
contrle des tablissements mutualistes et entreprises dinvestissement), Ayoub Bahhaouy, Franois
Philippe et Yannick Foratier (direction des contrles spcialiss et transversaux) ;
- Pour lOrganisation et Information de la Banque de France, par Andres Lopez Vernaza et Franck
Rigodanzo.
lments de dfinition
Enjeu conomique
2.2.
Avantages attendus
les
dans
une
4. Adquation
rglementaire
de
lenvironnement
lide
dun
accroissement de la responsabilit du prestataire
dans la gestion du traitement. Un groupe
souhaiterait que les autorits mettent en place un
processus de labellisation des sous-traitants
offrant des services de Cloud computing. Enfin,
un
assureur
considre
que
le
cadre
rglementaire est trs strict pour les activits
soumises agrment (donnes de sant) et doit
rgulirement voluer avec les technologies.
11
de
Cloud computing
rgulirement ;
doit
tre
value
14
Cloud
mesurer
si ce
concept,
cette
offre
technologique et commerciale, fait apparatre de
nouveaux risques dans les secteurs de la banque
et de lassurance,
apprcier si les politiques de scurit et les
textes rglementaires existant les couvrent
suffisamment,
recueillir des suggestions.
du
15
juridique
du
cloud
17
18