Les points clés des contrats Cloud - Journée de l'AFDIT Cloud Computing : théorie et pratique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Les points clés des contrats Cloud
Journée de l’AFDIT
Cloud Computing : théorie et pratique
29 11 2012
1
Copyright Lexing 2012 1
Introduction
• Des mots
– SaaS, PaaS, Iaas, DaaS, CaaS, XaaS…
• Une tendance
– 75% des entreprises dans le monde ont démarré un
projet cloud ; Marché prévisionnel 2020 : 270 milliards $
• Des angoisses
– Mais où sont mes données ?
– Pannes et indisponibilité
• Des actualités
– Projets de normes
– Projet de règlement européen sur les données
– Arrêt CJUE Usedsoft / Oracle
2
Copyright Lexing 2012 2
Plan
1. Les services
2. Les données
3. Les prix
4. La démarche
3
Copyright Lexing 2012 3
1. Les services
1. Niveaux de service
2. Dépendance
3. Responsabilité
4
Copyright Lexing 2012 4
1.1 Niveaux de service (1)
• Une priorité
• Des engagements
• Disponibilité
• Continuité
• Qualité
• Puissance
• Temps de rétablissement des services
• Fermeture des services
• Critères de la bande passante
5
Copyright Lexing 2012 5
1.1 Niveaux de services (2)
• Exemple : disponibilité
– Des niveaux de services intéressants :
• De 99,5% à 99,9% de « bout en bout »
– Mais des engagements de type
Pourcentage de disponibilité
Avoir service
mensuelle
1.1 Niveaux de services (3)
• Comparateur / Offres IaaS
eNovance
Cloud OVH Cloud
Amazon EC2 SFR Business Team Ikoula
Openstack et Instance
eHaelix
De 99,95 à
SLA De 99,7 à 99,99% 99,9% 99,98% 99,9%
100%
Nombre de jours
pour le Aucun 7 jours max 1 jour 2 jours Aucun
paramétrage
Support
24h/24 Oui Oui Oui Oui Oui
7j/7
Temps de
Temps de Temps de
Support / temps de réponse de 15 Temps de réponse en 30 De 1 min à 12
réponse en 1 réponse
réponse min à 12 min heures
heure immédiat
heures
7
Copyright Lexing 2012 7
1.2 Dépendance
• Portabilité : PLT PaaS ou Infrastructures IaaS
propriétaires, à l’absence d’API standardisées
pour le SaaS
• Interopérabilité : absence d’API standardisées
pour le SaaS
Saleforces (2008,
• Disponibilité : 2009, 2010)
Amazon (2010,
• quid des pannes ? 2011), Miscrosoft
Window Azure
• Evolutivité (2012), etc.
• Gouvernance
• Réversibilité / transférabilité / restitution
8
Copyright Lexing 2012 8
1.3 Responsabilité (1)
• Les obligations des fournisseurs
– le référentiel …
• un “labyrinthe documentaire”
– ...et des formules comme
• “We may change, discontinue, or depreciate…from time to time…”
• “(We) may make commercially reasonable changes from the
Services from time to time…”
– la qualification
• obligation de moyens, de type :
• “(We) use commercially reasonable efforts to make the purchased
services available 24 hours a day…”
9
Copyright Lexing 2012 91.3 Responsabilité (2)
• Limitation de responsabilité : IBM SmartCloud (France)
Source: http://www-05.ibm.com/services/europe/fr/cloud-development/contracts/Z125-8499-
12_SmartCloud_Agreement_International_31aout2012_sign_France_FR.pdf
10
Copyright Lexing 2012 102. Les données
1. Sécurité & confidentialité
2. Responsabilité
3. Réversibilité
11
Copyright Lexing 2012 112.1 Sécurité & confidentialité
• Gestion des accès & authentification
• Ségrégation & isolement # flexibilité
– Guest-Hopping
• Localisation des données
– Hors UE
– USA Patriot Act
• Recommandations :
– Cnil, 25 06 2012
• Analyse des risques
• Contractualisation des services
– Groupe de l’Article 29, Opinion 01 07 2012
• Audit
12
Copyright Lexing 2012 122.2 Responsabilité
• Qui est qui ? Qui contrôle ?
Qui donne les
– Responsable de traitement instructions ?
– Sous-traitant
– Co-responsable de traitement
• Clarifier le partage des responsabilités
• Préconisations de la Cnil
Hypothèse Formalités Information des Confidentialité et Exercice des
déclaratives personnes sécurité droits
Co-responsable Client Client ou Client + Prestataire Client avec le
ou Prestataire Prestataire concours du
prestataire
13
Copyright Lexing 2012 132.3 Réversibilité (1)
• Le risque de fin de contrat
Je n’ai plus rien…
Mais tout est à moi …
Je veux tout récupérer, tout de suite et sans risque
Réversibilité Réversibilité
sortante entrante
14
Copyright Lexing 2012 142.3 Réversibilité (2)
• Gestion contractuelle
– Conditions d’exportation des données
– Test de réversibilité
• Portabilité et interopérabilité
– Signature d’un PV de restitution
– Délivrance d’un certificat de suppression
15
Copyright Lexing 2012 153. Prix
1. Un autre modèle
2. Benchmark
16
Copyright Lexing 2012 163.1 Un autre modèle
• De l’investissement à l’achat de services
• « A l’usage » / Forfait
• Structure des prix :
– SaaS : à l’utilisateur ou au poste + options
– PaaS : en fonction de l’environnement et des outils
disponibles
– IaaS : en fonction du serveur virtuel, de la puissance
consommée, etc.
• Complexité des paramètres de facturation
– Unités de facturation
– « Effet de seuils »
17
Copyright Lexing 2012 173.2 Benchmark
• Offres IaaS
OBS Flexible
Amazon EC2 SFR Business IBM SmartCloud OVH Cloud
Computing
Team Enterprise Instance
Express
A l’heure, en A l’heure, en
A l’heure, en
fonction des A la journée, avec fonction des
Facturation Mensuelle fonction des
ressources forfait ressources
ressources utilisées
utilisées utilisées
Oui
(minimum 200
Forfait Non Oui Non Non
€/mois)
Outil de facturation
Oui Oui Oui Oui Non
prévisionnelle
18
Copyright Lexing 2012 184. Démarche
1. Analyse des risques
2. Benchmark
3. Normes
4. Négociations
5. Quel modèle de contrat ?
19
Copyright Lexing 2012 194.1 Analyse des risques
• Criticité des traitements & sensibilité des données
– Loi Informatique & Libertés
– Réglementations sectorielles (santé, banque,
comptabilités informatisées, défense, etc.)
• Quelle méthode d’appréciation des risques ?
– EBIOS (expression des besoins et d’identification
des objectifs de sécurité)
• Volet social en France
– Consultation CE (L. 2323-13 Code du travail)
– Plan d’adaptation (L. 2323-14 Code du travail)
20
Copyright Lexing 2012 204.2 Benchmark (1)
I. Mesure de la performance interne
• Définir le périmètre concerné
• Déterminer les outils de mesure et indicateurs de performance
• Evaluer les performances internes
II. Pré-benchmarking
P • Etablir les priorités
R • Choisir le(s) partenaire(s) du benchmark
O • Déterminer les méthodes
C
E
III. Benchmarking
S • Collecter et organiser les éléments recueillis
S • Analyser les écarts de performance
• Evaluer les offres des partenaires
IV. Post-benchmarking
• Communiquer les résultats
• Analyser les écarts de performance
• Choix du prestataire
21
Copyright Lexing 2012 214.2 Benchmark (2)
• Modèle tableau d’analyse / Offre IaaS
THEME S/THEME OFFRE 1 OFFRE 2 OFFRE 3
Serveurs
Infrastructure Disques
Systèmes d’exploitation
Provisionning/Deprovisionning
Mise à l’échelle automatique
Ressources
Répartition des charges
Backup
Multi VLAN/Multi VPN
Réseau
Connexion
Antivirus
Sécurité
Chiffrement
Horaire
Facturation
Forfaitaire
Plafond
Responsabilité
Dommages
SLA
Niveaux de services
GTI/GTR
Réversibilité
22
Copyright Lexing 2012 224.3 Normes
• Normes en vigueur utilisées
– ISO/CEI 27001 / ISO/CEI 27002 (sécurité de l’information)
• Norme « Cloud » publiée en novembre 2011
– ISO/CEI 17203 : Technologies de l’information-
Spécification du format de virtualisation ouvert (OVF)
• Projets de norme ISO :
Référence Titre Publication
ISO/CEI 17788 Data Value Domain Distributed Application Platforms & Services – 10/2014
Cloud Computing – Vocabulary
ISO/CEI 17789 Data Value Domain Distributed Application Platforms & Services – 10/2014
Cloud Computing – Reference Architecture
ISO/CEI 17826 Technologie de l’information – Interface de management des 01/2013
données du nuage informatique (CDMI)
ISO/CEI 18384 Distributed Application Platforms & Services – Reference 06/2015
Architecture for Service Orientied Architecture (SOA)
• Nombreux travaux en cours : ITU-T FG Cloud, OVF, CIMI,
etc.
23
Copyright Lexing 2012 234.4 Négociations Diversité de
fournisseurs : cloud
providers, cloud
brokers, cloud
• Déséquilibre apparent carrier, etc,
• Standardisation des offres
• Contrats d’adhésion • Le droit applicable et les
juridictions compétentes
• Contrats opaques • La localisation des données
(Centre de données Cloud)
• Les engagements de
confidentialité
• Les niveaux de service
Mais, • Le respect des normes
vérifier… • Les pénalités et la
responsabilité
• La réversibilité
• L’audit
24
Copyright Lexing 2012 244.5 Quel modèle de contrat ?
• Un impératif
– La souplesse
• Gouvernance
– Pilotage
– Révision
– Amendement
– Contrôle
• Service Level Agreement
• Architecture :
• Plan Assurance Qualité
– Le contrat
– Ses annexes • Plan Assurance Sécurité
25
Copyright Lexing 2012 255 Conseils
1. Définir les besoins et objectifs
2. Adopter une charte interne
3. Benchmarker les engagements
4. Tester la sécurité & la réversibilité
5. Et… négocier en amont
26
Copyright Lexing 2012 26Le bonheur est dans le binaire
Questions - Réponses
27
Copyright Lexing 2012 27Informations
ALAIN BENSOUSSAN AVOCATS
29 rue du colonel Pierre Avia Paris 15è
Tél. : 33 1 41 33 35 35
Fax : 33 1 41 33 35 36
paris@alain-bensoussan.com
www.alain-bensoussan.com
Alain Bensoussan
L.D. : 33 1 41 33 35 09
Mob. : 33 6 19 13 44 46
alain-bensoussan@alain-bensoussan.com
Crédits
Cloud Computing background©arrow-Fotolia.com BEI 4676324
Computer image©peter Hires Images-Fotolia.com BEI 7031656
World with a heap of packages©Franck Boston-Fotolia.com informatique internet
monde BEI 4688010
Handshake-poignée de main©Stéphane Magnin-Fotolia.com BEI 7031652
Businessman
Networking©Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344
Gps navigator©Sergey Eshmetoy-Fotolia.com BEI 4648699.jpg*
Sala de servidores 3©elgris-Fotolia.com
Lexing est une marque déposée par Alain Bensoussan Selas
28
Copyright Lexing 2012 28Vous pouvez aussi lire
