Télécharger le support de la présentation
Transcription
Télécharger le support de la présentation
www.rencontres-tic.org www.modernisation.gouv.fr/semaine-innovation-publique Isabelle RENARD, Avocat au barreau de Paris, Docteur Ingénieur Cloud & Sécurité juridique Les points clés d'un contrat entre la collectivité et le prestataire, parole d'expert Partenaires & Soutiens officiels Rencontres TIC du 13 novembre 2014 Cloud & Sécurité Juridique Les points clés d’un contrat entre la collectivité et le prestataire Isabelle Renard Docteur Ingénieur – Avocat www.irenard-avocat.com Quelle sont les véritables nouveautés du cloud par rapport à un contrat d’infogérance classique ? I – Un modèle technique II – Un modèle économique III – Un modèle juridique © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 2 I – UN MODELE TECHNIQUE © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 3 Capacité de traitement Machines virtuelles Stockage Services managés Bande passante © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 4 La capacité de plus en plus importante de bande passante permet une répartition des ressources entre des DATA CENTERS répartis géographiquement sur des périmètres très étendus. CONSEQUENCES : - Optimisation de l’utilisation de la puissance de calcul de chaque DATA CENTER - Localisation des DATA CENTER dans des implantations à bas coûts © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 5 MAIS…. : o Cela entraîne une véritable industrialisation du service rendu : même base de SLA sur tous les clients sinon c’est ingérable. o La différence se fait quasiment uniquement sur les services managés o La localisation des applications/données entre les différents DATA CENTER est incontrôlable D’où l’idée du « Cloud souverain » en France © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 6 II – UN MODELE ECONOMIQUE © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 7 Le modèle dominant du Cloud (même si ce n’est pas le seul) est le « payment on demand » CONSEQUENCE : de petites structures, qu’elles soient privées ou publiques, peuvent avoir accès à des qualités d’infrastructures techniques et des niveaux d’applications qui étaient inatteignables dans les modèles classiques © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 8 III – UN MODELE JURIDIQUE © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 9 La fin du contrat négocié …. …. Au profit des « contrats d’adhésion » POINTS FONDAMENTAUX : Un contrat de cloud public ne se négocie pas Les SLA sont standards et ils sont « à prendre ou à laisser » (ce qui est une conséquence de l’industrialisation permettant des tarifications attractives) © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 10 Les contrats des grands fournisseurs de cloud US (type Amazon, google, etc) sont constitués d’un enchevêtrement de documents qui rendent leur évaluation très complexe Et ce d’autant plus que : Ils sont écrits en anglais Ils sont soumis à un droit US et organisent une exclusion de responsabilité quasi complète au profit du fournisseur Mais le jeu des options permet d’obtenir des services ++ sur certains sujets : localisation, niveau de management, sauvegardes par ex. © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 11 ALORS QUE FAIRE ????? Il faut « changer de paradigme » DANS LES MODELES CLASSIQUES : Le client fait un cahier des charges, et le fournisseur y répond et donne un prix pour fournir un service en conformité avec ce cahier des charges DANS UN MODELE CLOUD PUBLIC : Le client fait un inventaire de ses besoins critiques compte tenu de ses exigences métier Il établit une matrice de conformité par rapport aux offres de cloud public disponibles © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 12 EVALUATION DE LA CRITICITE DES BESOINS La criticité des besoins dépend des exigences métier du client : SI LE CLIENT GERE DES DONNEES PERSONNELLES : attention à la localisation des DATA CENTERS (transferts hors UE interdits sauf exception) SI LE CLIENT GERE DES APPLICATIONS/DONNEES A FORT ENJEU SECURITAIRE : Le SLA standard du fournisseurs suffit-il ? Est-il conforme à une référence reconnue, de type ANSSI (référentiel de qualification de prestataires de services sécurisés d’informatique en nuage) © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 13 SI LE CLIENT GERE UNE APPLICATION A FORTE DEMANDE DE DISPONIBILITE : Le SLA standard du fournisseurs suffit-il ? Possibilité de mettre en place un plan de secours ? QUELLE EST LA SENSIBILITE DU CLIENT A UNE PERTE DE DONNEES ? Si sensibilité forte et SLA insuffisant : mis en place d’architectures miroirs indispensable COMMENT EST ORGANISEE LA REVERSIBILITE DU SERVICE ? Sur les SLA standards, réversibilité basique : les données sont rendues, aucune assistance n’est prévue © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 14 LA MATRICE DE CONFORMITE La matrice de conformité permet d’évaluer le gap entre les besoins du client et l’offre proposée. Suite à cette évaluation, deux cas peuvent se présenter © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 15 1 : le gap ne peut être rempli Exemple 1 : les DATA CENTERS sont répartis hors Europe sans garantie sur la localisation des données. Exemple 2 : les SLA en matière de sécurité sont insuffisants par rapport aux besoins Dans ce type de cas, le fournisseur envisagé ne peut pas être retenu et il est inutile de tenter de négocier. © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 16 2 : le gap peut être rempli Exemple 1 : Un plan de secours ou une architecture redondée peuvent être mis en place en complément Exemple 2 : la réversibilité peut être gérée par une offre de service supplémentaire Dans ce type de cas, le fournisseur envisagé peut être retenu, ses services devant être complétés par ceux de prestataires « de proximité » qui apporteront le complément nécessaire. © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 17 Dans cette situation, la question à se poser est la suivante : N’est-il pas mieux de contracter directement avec le prestataire « de proximité », qui fera son affaire de sa relation avec le prestataire de cloud public ? © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 18 Vos commentaires et vos questions sont les bienvenus © - IRenard-Avocat- Rencontres TIC 13 novembre 2014 19