Tribunes

Edito - Des dangers de la dépendance au cloud

Edito - Des dangers de la dépendance au cloud
Bertrand Lemaire est rédacteur en chef de CIO.

Une mésaventure arrivée à des développeurs iraniens bannis des services AWS rappelle que le cloud est par nature porteur de risques de dépendance.

PublicitéQuand ils ont banni les Iraniens, je n'ai rien dit : je n'étais pas iranien.
Quand ils ont banni les Chinois, je n'ai rien dit : je n'étais pas chinois.
Quand ils ont banni mon entreprise, je n'ai pu rien dire et j'ai fait faillite.
Récemment, sur Twitter, des développeurs iraniens se sont plains d'avoir vu leur compte AWS clôturé pour cause de sanctions américaines. Quand on a pris l'habitude des facilités du cloud, cela peut être très gênant pour partager des travaux ou même vendre des produits ou des services. Beaucoup de services en ligne reposent au moins en partie sur des clouds publics tels que celui d'AWS ou d'autres acteurs américains (Microsoft, Google, IBM...). Une coupure brutale du service peut poser de véritables problèmes. Cette mésaventure doit interpeler tout gestionnaire de risque et tout DSI.

Etre dépendant d'un fournisseur, c'est par nature un risque. N'importe quel fournisseur est susceptible de changer ses conditions commerciales, de supprimer une ligne de produits, d'augmenter considérablement ses tarifs... ou même de disparaître. La gestion du risque fournisseur fait partie du travail de n'importe quel DSI. Il lui est nécessaire de savoir en quelle mesure il est dépendant de quel fournisseur.

L'informatique-robinet que l'on ouvre et que l'on ferme

Or, avec le cloud, le niveau de dépendance s'est singulièrement accru. Ce ne sont plus une maintenance corrective et une évolution régulière des fonctionnalités qui sont menacées (ça laisse un peu de temps pour réagir) mais bien le service en lui-même et instantanément. Vous êtes banni. Point. L'informatique aussi simple qu'un robinet que l'on ouvre en fonction du besoin... et qu'un robinet que l'on ferme.

A cela s'ajoute le risque géopolitique. Aussi puissants que puissent être les fameux GAFAM (Google, Amazon, Facebook, Apple, Microsoft) ou d'autres acteurs de l'IT (IBM, Oracle...), ils sont (presque) tous américains ou soumis d'une façon ou d'une autre à la législation américaine (y compris SAP ou OVH, présents largement sur le sol américain). Les Etats-Unis sont censés être nos alliés. Donc pas de risque géopolitique pour nous qui ne sommes ni chinois ni iraniens. En êtes-vous si sûr ? Rappelez-vous la fureur du gouvernement de George W. Bush après un certain discours d'un premier ministre français alors que le dit premier ministre avait à 100 % raison (des pièces récemment déclassifiées ont prouvé que les Américains ont délibérément menti). Plus récemment, l'actuel président américain, Donald Trump, a menacé plusieurs fois la France de sanctions, notamment suite à la taxation des services des GAFAM. Le robinet de l'informatique à la demande peut se fermer brutalement pour soi mais aussi pour des fournisseurs, notamment en off-shore, dont on ne maîtrise que rarement leurs propres dépendances.

PublicitéBien entendu, la cybersurveillance en lien avec le Cloud Act est un autre sujet qu'il ne faut pas négliger. Quand des contrats à plusieurs milliards d'euros sont en jeu, dans le pétrole ou l'aéronautique par exemple, il n'est pas si rare que les états aident un peu leurs propres entreprises. Tant pis pour vous si un état aide l'un de vos concurrents en vous espionnant.

Celui qui se tait et se bouche les yeux devant les ennuis des autres s'apprête à subir lui-même bien des ennuis. C'est le sens de la célèbre citation du pasteur Martin Niemöller.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Tous les terminaux se connectant au SI de l’entreprise sont-ils ou bien contrôlés ou bien considérés comme « 0 trust » ?