Les enjeux contractuels du cloud hybride
Lors du premier salon Interconnect organisé par IBM à Las Vegas en février 2015 (1), » Big blue » a exposé sa stratégie pour le cloud laquelle doit être centrée autour du cloud hybride.
Une réalité technique protéiforme, une définition ISO très large. A suivre les présentations faites à cette occasion, il apparaît que le cloud hybride recouvre techniquement une réalité hétérogène recouvrant d’une part le fait d’avoir des données ou applications provenant de l’extérieur, d’autre part la structure technologique de la plateforme cloud, elle-même, permettant de discriminer entre espace dédié ou public, avec une localisation physique, des niveaux de sécurité différents.
La multiplicité des formes concrètes du » cloud hybride » est à l’origine d’une controverse entre les différents prestataires et même entre experts.
Après un peu plus de deux ans de travaux les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes (2) dont la norme ISO 17788 laquelle définit le cloud hybride comme un modèle de développement utilisant au moins deux modèles de développement du cloud et permettant entre eux une interopérabilité et une portabilité des données et des applications. Pour un candidat à une offre de cloud hybride, une telle définition ne permet pas de s’engager sereinement.
La nécessité d’un encadrement contractuel précis. Faire référence aux normes ISO précitées et obtenir la garantie de leur respect durant toute la durée d’exécution du contrat est un minimum. Cependant, cela ne saurait suffire pour sécuriser le candidat à une offre de cloud hybride.
La clause » prix » et généralement l’annexe financière associée doivent faire l’objet d’une attention toute particulière : le coût des services pouvant varier fortement selon le type de service utilisé. Si certains prestataires ne facturent pas le trafic entre différents centres de données dans le cloud hybride, ce n’est pas le cas de tous.
Les dispositions contractuelles sur la sécurité, les garanties de performance revêtent un caractère crucial, de même que celles sur la réversibilité. A ce titre, compte tenu de la complexité de l’architecture » hybride » envisagée, il est indispensable d’exiger un plan de réversibilité dès la signature du contrat avec mise à jour à intervalle régulier.
Les annexes au contrat et en particulier les annexes techniques et de sécurité doivent également faire l’objet d’un soin particulier. Il importe en effet que l’architecture technique soit particulièrement précise et compréhensible par tout homme de l’art. L’annexe sécurité proposera un vrai plan d’assurance sécurité comprenant le PSSI, les plans de continuité et de reprise d’activité.
Enfin, alors qu’une norme ISO sur les niveaux de services (SLA) doit être publiée dans les prochains mois (3), prévoir un mécanisme de benchmark avec possibilité de révision du contrat peut être une sage précaution pour ne pas risquer de se trouver avec un contrat sur des prestations de cloud hybride trop rapidement obsolètes par rapport à l’état de l’art.
Eric Le Quellenec
Lexing Droit Informatique
(1) Salon Interconnect organisé par IBM à Las Vegas en février 2015.
(2) JTIT n°153-2015.
(3) Projet de norme ISO 19086.