Télécharger le support de la présentation

Transcription

www.rencontres-tic.org
www.modernisation.gouv.fr/semaine-innovation-publique
 Isabelle RENARD,
Avocat au barreau de Paris, Docteur Ingénieur
 Cloud & Sécurité juridique
 Les points clés d'un contrat entre la collectivité et le prestataire,
parole d'expert
Partenaires & Soutiens officiels
Rencontres TIC du 13 novembre 2014
Cloud & Sécurité Juridique
Les points clés d’un contrat entre la collectivité et
le prestataire
Isabelle Renard
Docteur Ingénieur – Avocat
www.irenard-avocat.com
Quelle sont les véritables nouveautés du cloud par rapport à un
contrat d’infogérance classique ?
I – Un modèle technique
II – Un modèle économique
III – Un modèle juridique
© - IRenard-Avocat- Rencontres TIC 13 novembre 2014
2
I – UN MODELE TECHNIQUE
3
Capacité de traitement
Machines virtuelles
Stockage
Services managés
Bande passante
4
La capacité de plus en plus importante de bande passante permet une
répartition des ressources entre des DATA CENTERS répartis géographiquement
sur des périmètres très étendus.
CONSEQUENCES :
-
Optimisation de l’utilisation de la puissance de calcul de chaque DATA
CENTER
-
Localisation des DATA CENTER dans des implantations à bas coûts
5
MAIS…. :
o Cela entraîne une véritable industrialisation du service rendu : même base de
SLA sur tous les clients sinon c’est ingérable.
o La différence se fait quasiment uniquement sur les services managés
o La localisation des applications/données entre les différents DATA CENTER
est incontrôlable
 D’où l’idée du « Cloud souverain » en France
6
II – UN MODELE ECONOMIQUE
7
 Le modèle dominant du Cloud (même si ce n’est pas le seul) est le « payment
on demand »
 CONSEQUENCE : de petites structures, qu’elles soient privées ou publiques,
peuvent avoir accès à des qualités d’infrastructures techniques et des
niveaux d’applications qui étaient inatteignables dans les modèles classiques
8
III – UN MODELE JURIDIQUE
9
La fin du contrat négocié ….
…. Au profit des « contrats d’adhésion »
POINTS FONDAMENTAUX :
 Un contrat de cloud public ne se négocie pas
 Les SLA sont standards et ils sont « à prendre ou à laisser » (ce qui est une
conséquence de l’industrialisation permettant des tarifications attractives)
10
 Les contrats des grands fournisseurs de cloud US (type Amazon, google, etc)
sont constitués d’un enchevêtrement de documents qui rendent leur
évaluation très complexe
 Et ce d’autant plus que :
 Ils sont écrits en anglais
 Ils sont soumis à un droit US et organisent une exclusion de
responsabilité quasi complète au profit du fournisseur
 Mais le jeu des options permet d’obtenir des services ++ sur certains sujets :
localisation, niveau de management, sauvegardes par ex.
11
ALORS QUE FAIRE ?????
Il faut « changer de paradigme »
DANS LES MODELES CLASSIQUES :
 Le client fait un cahier des charges, et le fournisseur y répond et donne un prix
pour fournir un service en conformité avec ce cahier des charges
DANS UN MODELE CLOUD PUBLIC :
 Le client fait un inventaire de ses besoins critiques compte tenu de ses
exigences métier
 Il établit une matrice de conformité par rapport aux offres de cloud public
disponibles
12
EVALUATION DE LA CRITICITE DES BESOINS
La criticité des besoins dépend des exigences métier du client :
 SI LE CLIENT GERE DES DONNEES PERSONNELLES :
attention à la localisation des DATA CENTERS (transferts hors UE interdits
sauf exception)
 SI LE CLIENT GERE DES APPLICATIONS/DONNEES A FORT ENJEU SECURITAIRE :
Le SLA standard du fournisseurs suffit-il ?
Est-il conforme à une référence reconnue, de type ANSSI (référentiel de
qualification de prestataires de services sécurisés d’informatique en
nuage)
13
 SI LE CLIENT GERE UNE APPLICATION A FORTE DEMANDE DE DISPONIBILITE :
Le SLA standard du fournisseurs suffit-il ?
Possibilité de mettre en place un plan de secours ?
 QUELLE EST LA SENSIBILITE DU CLIENT A UNE PERTE DE DONNEES ?
Si sensibilité forte et SLA insuffisant : mis en place d’architectures miroirs
indispensable
 COMMENT EST ORGANISEE LA REVERSIBILITE DU SERVICE ?
Sur les SLA standards, réversibilité basique : les données sont rendues,
aucune assistance n’est prévue
14
LA MATRICE DE CONFORMITE
La matrice de conformité permet d’évaluer le gap entre les besoins
du client et l’offre proposée.
Suite à cette évaluation, deux cas peuvent se présenter
15
1 : le gap ne peut être rempli
Exemple 1 : les DATA CENTERS sont répartis hors Europe sans garantie sur la
localisation des données.
Exemple 2 : les SLA en matière de sécurité sont insuffisants par rapport aux
besoins
Dans ce type de cas, le fournisseur envisagé ne peut pas être retenu et il est
inutile de tenter de négocier.
16
2 : le gap peut être rempli
Exemple 1 : Un plan de secours ou une architecture redondée peuvent être mis
en place en complément
Exemple 2 : la réversibilité peut être gérée par une offre de service
supplémentaire
Dans ce type de cas, le fournisseur envisagé peut être retenu, ses services devant
être complétés par ceux de prestataires « de proximité » qui apporteront le
complément nécessaire.
17
Dans cette situation, la question à se poser est la suivante :
N’est-il pas mieux de contracter directement avec le prestataire « de
proximité », qui fera son affaire de sa relation avec le prestataire de cloud
public ?
18
Vos commentaires et vos questions sont les
bienvenus
19

Télécharger le support de la présentation

Transcription

Documents pareils

Tic-Tac (problème de Mai

ICT 2008 event - « I »s to the future 25

Recrutement de Commerciaux

Contribution to the Third Parliamentary Forum on Shaping the

CONSEILLER(ÈRE) TECHNOPÉDAGOGIQUE Secteur secondaire

Carole Gaugain - Site Internet

Un accompagnement TIC des entreprises assuré par la CCI de Lyon

www.ouvertec.com www.ouvertec.com Visitez notre website ou

Télécharger le dispositif en PDF

«Assurer la confiance dans les services de santé en ligne grâce à