A force d'expliquer combien le cloud computing est flexible, économique, pratique, etc. on risquerait d'oublier les risques qui y sont associés. L'avocate Isabelle Renard, du cabinet Racine, a entrepris de réaliser quelques sains rappels lors d'une conférence le 16 octobre 2012. Suivre de bonnes pratiques permet certes d'éviter quelques ennuis mais ce qui serait souhaitable n'est pas toujours réaliste. L'adoption du cloud computing doit donc être associée à une réflexion sur les risques encourus, et ce dans plusieurs domaines.

Le risque fiscal, un risque souvent oublié

Parfois, certains « risques » sont même fort éloignés de l'informatique. Ainsi, on peut citer le risque fiscal. Le recours au cloud computing se caractérise notamment par une structure des coûts qui est comptablement très différente d'une acquisition d'infrastructure.
Une infrastructure est en effet un investissement, donc son coût va être réparti sur plusieurs exercices comptables selon un plan d'amortissement connu à l'avance et respectant une régularité légale. A l'inverse, le cloud computing, un service, génère une charge pure enregistrée au fur et à mesure de la consommation. La répartition des charges fiscalement déductibles en est singulièrement impactée.



Or les déficits fiscaux ne sont plus reportables d'un exercice sur l'autre avec le même automatisme qu'auparavant. Des à-coups dans l'enregistrement de charges (avec une consommation irrégulière de cloud computing) dans une entreprise au résultat plus ou moins à l'équilibre peut donc générer des pertes fiscales non-reportables en entier d'un exercice sur l'autre et donc générer une perte fiscale nette irrécupérable. Ce risque fiscal est probablement le plus exotique par rapport aux préoccupations standards des DSI. Mais il en existe d'autres, plus habituels pour eux.

La sécurité et la récupération des données encore et toujours...

Bien entendu, le premier des risques habituellement reconnus est celui de la sécurité. « Il est totalement inconscient de recourir à une messagerie dans le cloud simplement parce que c'est moins cher ou plus flexible alors même que des messages sensibles vont être échangés » a ainsi dénoncé Isabelle Renard. Elle envisage même : « en cas de préjudice avéré, il est plausible que le ministère public se retourne contre les entreprises ayant ainsi mis des informations sensibles dans le cloud », cette action caractérisant une négligence caractérisée en matière de sécurité. L'avocate a ainsi rappelé que l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) estime que les services de cloud public ne sont généralement pas dotés d'un niveau de sécurité suffisant.

Le problème est d'autant plus réel que les principaux acteurs de messagerie SaaS sont américains, donc soumis au fameux Patriot Act. Cette loi américaine à effet extraterritorial permet à l'administration américaine d'exiger la communication de toute information qu'elle souhaite (sous le prétexte de la lutte anti-terroriste) auprès de toute entreprise américaine. L'hébergement des données dans un datacenter en Europe ne change rien si le datacenter appartient à une entreprise américaine : le datacenter sera autant soumis au Patriot Act que s'il avait été à Washington DC. Ajoutons que le propriétaire de la donnée transmise ne peut en aucun cas être notifié de cette transmission. Le Patriot Act interdit cette notification.
Et n'oublions pas que la Loi interdit souvent d'exporter des données (notamment nominatives) hors de l'Union Européenne. Or le cloud computing se moque bien souvent des frontières.