L'ambitieux projet Cloud Confidence, qui se verrait bien franco-allemand, vise à mettre en place une certification d'une durée de 5 ans basée sur le respect d'un référentiel et validé par audit annuel. Mais peut-on ainsi réduire la surface d'un nuage qui se veut totalement transfrontalier ?

Quel sera l'impact du projet de certification Cloud Confidence sur les acteurs du Cloud Computing ? Difficile de l'anticiper, tant c'est la cacophonie qui règne sur les normes, certifications, et référentiels du cloud, et c'est l'Amérique qui imposerait bien sa loi.

D'un coté, cocorico !, certains référentiels sont encore en état de devenir. Le référentiel de Cloud Computing de l'ANSSI, par exemple, ne sera prêt qu'en 2015, de même que l'ISO 27017. De l'autre coté de l'Atlantique, la certification STAR de la CSA (Cloud Security Alliance) et les projets de norme autour du référentiel SP 800-30 sont loin de rassurer les acteurs européens du cloud.

Des intentons, mais peu de concret pour le moment 

L'initiative Cloud Confidence serait donc la bienvenue, si elle ne figurait un double combat, que nous qualifierons d'arrière garde : chercher une alternative au modèle américain, et pour certains acteurs du projet (les juristes, par exemple ?) prendre la main avant que les projets de normalisation n'aboutissent. Autant dire que l'avenir du projet est incertain...

Occuper le terrain et chercher l'appui de l'Allemagne semblent donc être les leitmotivs du projet dans son état actuel. Ainsi le référentiel sur lequel la certification doit s'appuyer n'existe pas... encore ! Les trois collèges qui composent le projet - offreurs de services de Cloud Computing, clients, et prestataires de l’écosystème – y travaillent.

Commencer par de règles de bon sens

C'est dans les principes, qualifiés de « bon sens », énoncés du projet que repose le projet de référentiel :

  • Le respect par les prestataires des informations de leurs clients, selon des principes équivalents à ceux qui prévalent pour la protection des données à caractère personnel. On devrait retrouver ici les principes du futur règlement européen sur la protection des données à caractère personnel.
  • L'absence d'exposition des prestataires de services cloud aux lois et réglementations américaines. Une manière élégante d'éliminer de l'équation les prestataires américains, tout en apportant un semblant de garantie aux clients. Mais qu'en est-il ci ceux-ci sont américains ou filiale d'un groupe américain ?
  • Le respect ses référentiels de l’ANSSI et du RGS concernant le Cloud Computing. Mais imposés au secteur public, leur rigueur est-elle adaptée aux entreprises ?

Au final, si l'on ne peut que souhaiter une normalisation, ou tout du moins un alignement des pratiques des opérateurs de Cloud Computing sur des référentiels reconnus – et susceptibles apportent une réponse aux critiques qui pèsent sur le cloud et sur les modèles mutualisés -, il n'est pas certain qu'une initiative localisée, même franco-allemande, soit suffisante pour imposer des pratiques sur une approche technologique qui défie les frontières...