Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique 29 11 2012 1 Copyright Lexing 2012 1
Introduction Des mots SaaS, PaaS, Iaas, DaaS, CaaS, XaaS Une tendance 75% des entreprises dans le monde ont démarré un projet cloud ; Marché prévisionnel 2020 : 270 milliards $ Des angoisses Mais où sont mes données? Pannes et indisponibilité Des actualités Projets de normes Projet de règlement européen sur les données Arrêt CJUE Usedsoft / Oracle 2 Copyright Lexing 2012 2
Plan 1. Les services 2. Les données 3. Les prix 4. La démarche 3 Copyright Lexing 2012 3
1. Les services 1. Niveaux de service 2. Dépendance 3. Responsabilité 4 Copyright Lexing 2012 4
1.1 Niveaux de service (1) Une priorité Des engagements Disponibilité Continuité Qualité Puissance Temps de rétablissement des services Fermeture des services Critères de la bande passante 5 Copyright Lexing 2012 5
1.1 Niveaux de services (2) Exemple : disponibilité Des niveaux de services intéressants : De 99,5% à 99,9% de «bout en bout» Mais des engagements de type Pourcentage de disponibilité mensuelle Avoir service <99,9 % 10 % <99,5 % 25 % Et des formules avec : «mettre en œuvre toutes diligences commercialement raisonnables» «des périodes d indisponibilité programmées que nous planifierons autant que possible pendant les heures de week-end» «IBM ne garantit pas le fonctionnement ininterrompu ou sans erreur des services, des composants de service, des logiciels tiers ou du logiciel d'activation, ni qu'ibm pourra empêcher les perturbations des services par des tiers ou qu'elle corrigera tous les défauts» (source : http://www-05.ibm.com/services/europe/fr/cloud-development/contracts/z125-8499- 11_SmartCloud_Agreement_International_29mai2012_sign_France_FR.pdf) 6 Copyright Lexing 2012 6
1.1 Niveaux de services (3) Comparateur / Offres IaaS Amazon EC2 SFR Business Team enovance Cloud Openstack et ehaelix Ikoula OVH Cloud Instance SLA De 99,95 à 100% De 99,7 à 99,99% 99,9% 99,98% 99,9% Nombre de jours pour le paramétrage Support 24h/24 7j/7 Aucun 7 jours max 1 jour 2 jours Aucun Oui Oui Oui Oui Oui Support / temps de réponse Temps de réponse de 15 min à 12 heures Temps de réponse en 30 min Temps de réponse en 1 heure De 1 min à 12 heures Temps de réponse immédiat 7 Copyright Lexing 2012 7
1.2 Dépendance Portabilité : PLT PaaS ou Infrastructures IaaS propriétaires, à l absence d API standardisées pour le SaaS Interopérabilité : absence d API standardisées pour le SaaS Disponibilité : quid des pannes? Evolutivité Gouvernance Saleforces (2008, 2009, 2010) Amazon (2010, 2011), Miscrosoft Window Azure (2012), etc. Réversibilité / transférabilité / restitution 8 Copyright Lexing 2012 8
1.3 Responsabilité (1) Les obligations des fournisseurs le référentiel un labyrinthe documentaire...et des formules comme We may change, discontinue, or depreciate from time to time (We) may make commercially reasonable changes from the Services from time to time la qualification obligation de moyens, de type : (We) use commercially reasonable efforts to make the purchased services available 24 hours a day 9 Copyright Lexing 2012 9
1.3 Responsabilité (2) Limitation de responsabilité : IBM SmartCloud (France) Source: http://www-05.ibm.com/services/europe/fr/cloud-development/contracts/z125-8499- 12_SmartCloud_Agreement_International_31aout2012_sign_France_FR.pdf 10 Copyright Lexing 2012 10
2. Les données 1. Sécurité & confidentialité 2. Responsabilité 3. Réversibilité 11 Copyright Lexing 2012 11
2.1 Sécurité & confidentialité Gestion des accès & authentification Ségrégation & isolement # flexibilité Guest-Hopping Localisation des données Hors UE USA Patriot Act Recommandations : Cnil, 25 06 2012 Analyse des risques Contractualisation des services Groupe de l Article 29, Opinion 01 07 2012 Audit 12 Copyright Lexing 2012 12
2.2 Responsabilité Qui est qui? Responsable de traitement Sous-traitant Co-responsable de traitement Clarifier le partage des responsabilités Préconisations de la Cnil Qui contrôle? Qui donne les instructions? Hypothèse Formalités déclaratives Information des personnes Confidentialité et sécurité Exercice des droits Co-responsable Client ou Prestataire Client ou Prestataire Client + Prestataire Client avec le concours du prestataire 13 Copyright Lexing 2012 13
2.3 Réversibilité (1) Le risque de fin de contrat Je n ai plus rien Mais tout est à moi Je veux tout récupérer, tout de suite et sans risque Réversibilité sortante Réversibilité entrante 14 Copyright Lexing 2012 14
2.3 Réversibilité (2) Gestion contractuelle Conditions d exportation des données Test de réversibilité Portabilité et interopérabilité Signature d un PV de restitution Délivrance d un certificat de suppression 15 Copyright Lexing 2012 15
3. Prix 1. Un autre modèle 2. Benchmark 16 Copyright Lexing 2012 16
3.1 Un autre modèle De l investissement à l achat de services «A l usage» / Forfait Structure des prix : SaaS : à l utilisateur ou au poste + options PaaS : en fonction de l environnement et des outils disponibles IaaS : en fonction du serveur virtuel, de la puissance consommée, etc. Complexité des paramètres de facturation Unités de facturation «Effet de seuils» 17 Copyright Lexing 2012 17
3.2 Benchmark Offres IaaS Amazon EC2 SFR Business Team IBM SmartCloud Enterprise OBS Flexible Computing Express OVH Cloud Instance Facturation A l heure, en fonction des ressources utilisées Mensuelle Forfait Non Oui Non A l heure, en fonction des ressources utilisées A la journée, avec forfait Oui (minimum 200 /mois) A l heure, en fonction des ressources utilisées Non Outil de facturation prévisionnelle Oui Oui Oui Oui Non 18 Copyright Lexing 2012 18
4. Démarche 1. Analyse des risques 2. Benchmark 3. Normes 4. Négociations 5. Quel modèle de contrat? 19 Copyright Lexing 2012 19
4.1 Analyse des risques Criticité des traitements & sensibilité des données Loi Informatique & Libertés Réglementations sectorielles (santé, banque, comptabilités informatisées, défense, etc.) Quelle méthode d appréciation des risques? EBIOS (expression des besoins et d identification des objectifs de sécurité) Volet social en France Consultation CE (L. 2323-13 Code du travail) Plan d adaptation (L. 2323-14 Code du travail) 20 Copyright Lexing 2012 20
4.2 Benchmark (1) I. Mesure de la performance interne Définir le périmètre concerné Déterminer les outils de mesure et indicateurs de performance Evaluer les performances internes P R O C E S S II. Pré-benchmarking Etablir les priorités Choisir le(s) partenaire(s) du benchmark Déterminer les méthodes III. Benchmarking Collecter et organiser les éléments recueillis Analyser les écarts de performance Evaluer les offres des partenaires IV. Post-benchmarking Communiquer les résultats Analyser les écarts de performance Choix du prestataire 21 Copyright Lexing 2012 21
4.2 Benchmark (2) Modèle tableau d analyse / Offre IaaS Infrastructure Ressources Réseau Sécurité Facturation Responsabilité Niveaux de services Réversibilité THEME S/THEME OFFRE 1 OFFRE 2 OFFRE 3 Serveurs Disques Systèmes d exploitation Provisionning/Deprovisionning Mise à l échelle automatique Répartition des charges Backup Multi VLAN/Multi VPN Connexion Antivirus Chiffrement Horaire Forfaitaire Plafond Dommages SLA GTI/GTR 22 Copyright Lexing 2012 22
4.3 Normes Normes en vigueur utilisées ISO/CEI 27001 / ISO/CEI 27002 (sécurité de l information) Norme «Cloud» publiée en novembre 2011 ISO/CEI 17203 : Technologies de l information- Spécification du format de virtualisation ouvert (OVF) Projets de norme ISO : Référence Titre Publication ISO/CEI 17788 Data Value Domain Distributed Application Platforms & Services Cloud Computing Vocabulary ISO/CEI 17789 Data Value Domain Distributed Application Platforms & Services Cloud Computing Reference Architecture ISO/CEI 17826 Technologie de l information Interface de management des données du nuage informatique (CDMI) 10/2014 10/2014 01/2013 ISO/CEI 18384 Distributed Application Platforms & Services Reference Architecture for Service Orientied Architecture (SOA) 06/2015 Nombreux travaux en cours : ITU-T FG Cloud, OVF, CIMI, etc. 23 Copyright Lexing 2012 23
4.4 Négociations Déséquilibre apparent Standardisation des offres Contrats d adhésion Contrats opaques Mais, vérifier Diversité de fournisseurs : cloud providers, cloud brokers, cloud carrier, etc, Le droit applicable et les juridictions compétentes La localisation des données (Centre de données Cloud) Les engagements de confidentialité Les niveaux de service Le respect des normes Les pénalités et la responsabilité La réversibilité L audit 24 Copyright Lexing 2012 24
4.5 Quel modèle de contrat? Un impératif La souplesse Gouvernance Pilotage Révision Amendement Contrôle Architecture : Le contrat Ses annexes Service Level Agreement Plan Assurance Qualité Plan Assurance Sécurité 25 Copyright Lexing 2012 25
5 Conseils 1. Définir les besoins et objectifs 2. Adopter une charte interne 3. Benchmarker les engagements 4. Tester la sécurité & la réversibilité 5. Et négocier en amont 26 Copyright Lexing 2012 26
Le bonheur est dans le binaire Questions - Réponses 27 Copyright Lexing 2012 27
Informations ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è Tél. : 33 1 41 33 35 35 Fax : 33 1 41 33 35 36 paris@alain-bensoussan.com www.alain-bensoussan.com Alain Bensoussan L.D. : 33 1 41 33 35 09 Mob. : 33 6 19 13 44 46 alain-bensoussan@alain-bensoussan.com Crédits Cloud Computing background arrow-fotolia.com BEI 4676324 Computer image peter Hires Images-Fotolia.com BEI 7031656 World with a heap of packages Franck Boston-Fotolia.com informatique internet monde BEI 4688010 Handshake-poignée de main Stéphane Magnin-Fotolia.com BEI 7031652 Businessman Networking Scott Maxwell-Fotolia.com informatique data room réunion BEI 4676344 Gps navigator Sergey Eshmetoy-Fotolia.com BEI 4648699.jpg* Sala de servidores 3 elgris-fotolia.com Lexing est une marque déposée par Alain Bensoussan Selas 28 Copyright Lexing 2012 28