De quoi peuvent bien parler une vingtaine de RSSI réunis au sommet d’une tour haute d’une centaine de mètres ? De Cloud Computing, bien entendu !

Tous sont venus participer au dîner-débat du CSO Interchange de Rotterdam (un événement SecurityVibes). Du haut de l'[Euromast | http://www.holland.com/fr/villesregions/rotterdam/architecture/euromast.jsp], la rencontre a pour thème la sécurité du Cloud Computing. Mais plutôt que parler de technique et de solutions, il sera ici question de la notion de risque : diffère-t-elle, ou non, une fois dans le nuage ?

C’est le RSSI d’un constructeur automobile qui vient exposer sa réflexion sur la gestion du risque en la matière. Pour lui, aller ou non vers l’informatique en nuage est avant tout une question de gestion du risque prestataires : le fournisseur du service en question est un prestataire, et – surtout – ses propres fournisseurs sont eux aussi des prestataires du client final.

Cette notion de prestataires en chaîne, l’industrie automobile la connaît bien. « 73% de la valeur d’un véhicule que nous fabriquons est achetée à l’extérieur », explique le RSSI. Ainsi par exemple, la cabine du véhicule arrive intégralement montée sur la ligne d’assemblage. Et son fournisseur s’est, lui, alimenté chez plusieurs centaines de petits fournisseurs différents.

Introduisez maintenant le concept de « Direct Line Feeding » (alimentation de la chaîne de production en flux tendu directement depuis les fournisseurs de premier niveau), et l’on comprend que la moindre défaillance d’un fournisseur de niveau deux, trois ou plus est susceptible de paralyser la chaîne de montage. Une telle défaillance peut être, certes, d’origine technique, mais également financière (difficultés de trésorerie qui impactent l’approvisionnement) ou humaine (mouvement social).

Pour s’en prémunir, le donneur d’ordre doit alors être en mesure d’évaluer la fiabilité des différents prestataires susceptibles d’avoir un impact sur sa production, et cela sur toute la ligne des fournisseurs.

En quoi cela se rapporte-t-il au Cloud Computing ? Pour commencer, la notion de temps réel dans la « consommation » des données et des traitements venus du nuage est la même, ainsi que la dépendance accrue à la IT. Et surtout le fournisseur de service Cloud est lui aussi dépendant d’une multitude d’autres fournisseurs (équipement réseau, systèmes d’exploitation, plate-forme de virtualisation, hébergement, alimentation électrique, etc…).

Et de fait, les approches choisies par ce constructeur automobile pour se protéger du risque de défaillance d’un prestataire peuvent inspirer d’autres entreprises tentées par le Cloud. Notre RSSI a notamment détaillé quatre points essentiels de sa stratégie :

Obtenir des réponses claires qui pourront être contractualisées en matière de certification (ISO par exemple), de bonnes pratiques (SDL pour les développements internes par exemple) ou processus de sécurité mis en oeuvre.

Exiger la transparence vis-à-vis des autres contrats d’externalisation en cours chez le fournisseur

Exiger un droit de regard sur tout nouveau contrat d’externalisation signé en cours de route

Formaliser la stratégie de sortie et offrir une incitation à ce que tout se passe bien en cas de retrait, notamment sous la forme d’un bonus

Et là où la chose devient véritablement complexe, c’est que cette approche est récursive : l’idéal étant de convaincre le fournisseur de service Cloud d’appliquer les mêmes recettes à ses fournisseurs et ainsi de suite, pour remonter ensuite au donneur d’ordre (le client final) une vision globale du risque fournisseurs.

Il devient alors possible de noter, sur des critères identiques, chaque fournisseur de fournisseur intervenant dans la chaîne du service. Et, en fonction de leur conformité (impossible d’obtenir de celui-ci une vision claire de ses contrats d’externalisation, ou celui-ci refuse d’entendre parler de bonnes pratiques en matière de mots de passe), leur attribuer un « statut », qui définira les relations avec ce prestataire. Pour ce constructeur particulier, la relation est décrite en terme d’action : croître, développer, laisser vivre, effacer « passivement », effacer.

Il est ainsi possible de choisir en toute connaissance de cause d’investir sur un petit partenaire afin de l’aider à améliorer ou à maintenir son niveau, tandis qu’il faudra peut-être commencer à chercher un remplaçant pour tel autre, susceptible d’être défaillant à terme ou n’offrant plus la visibilité nécessaire. « Le Cloud, ce sont vos données servies par d’autres équipes, qui sont susceptibles d’avoir exactement les mêmes problèmes que vous aviez. Il est donc nécessaire de savoir à tout moment comment elles sont préparées pour y faire face », résume à merveille notre invité.

Bien entendu, l’industrie automobile est autrement plus mûre que celle du Cloud Computing. Un tel niveau d’exigence serait à la limite du ridicule si on devait l’appliquer aux fournisseurs de service actuels (et peu seraient en mesure d’y répondre de toute manière). Mais il s’agit peut-être là précisément d’une direction souhaitable, une « autoroute vers la maturité » bien balisée ?

Cela, toutefois, pourrait prendre du temps : « le Cloud est tellement compliqué à cerner du point de vue de la gestion des risques que nous ne nous voyons pas y aller de si tôt », observe un autre RSSI durant la présentation. Et l’an dernier déjà un assureur américain tenait un discours similaire en s’arrachant les cheveux à tenter d’intégrer l’usage du Cloud au calcul de ses polices.

Plutôt une départementale vers la maturité, alors…