Le développement du cloud va faire émerger des problématiques nouvelles auxquelles les DSI vont apporter les meilleures réponses face aux besoins de leur entreprise.

IBM vient de déposer un brevet pour une technique qui aide à analyse et gérer automatiquement la localisation des données qu’elles soient stocker sur des clouds. Cette technique permettra en particulier aux entreprises de se conformer aux règlementations existantes quand leurs données sont conservées dans différents pays.

Le brevet déposé par IBM sous l’appellation Geographic governance of data over clouds et référencé U.S. patent #8,676,593 permet aux utilisateurs de choisir dynamiquement la localisation de leur choix. L’innovation d’IBM joue le rôle d’un routeur intelligent pour les données et donnent aux DSI un meilleur contrôle de leur données. Elle permet de marquer les données (comme une sorte de metadata) qui peuvent être alors gérer par un système de management intelligent. Par exemple, une entreprise doit pouvoir s’assurer que toutes ses données financières sont stockées dans un data center particulier ou sur un territoire donné. Les fichiers associés aux données permettront au système de « router » automatiquement toutes les données financières sur le lieu choisi.

Toutefois, la localisation physique aura-t-elle, à terme, une importance aussi importante que par le passé. Le Gartner expliquait dans une notre récente (Quelle évolution pour la localisation des données ?) que la localisation physique des données a toujours de l’importance mais devient de plus en plus inopérante et sera remplacer par une ensemble de paramètres légaux, politique et logiques pour la majorité des organisations et entreprises.

Une décision de justice américaine récente renforce l’idée que la localisation géographique des données District de New York a maintenu une perquisition issue par un magistrat américain intimant Microsoft de fournir aux autorités américaines des courriers électroniques stockés dans un data center basé en Irlande à Dublin d’une personne suspectée de trafic de drogue. Microsoft a contesté cette décision en arguant qu’un représentant du ministère public ne pouvait saisir une information stockée dans un pays étranger. La juge a réfuté cette position en affirmant que le problème n’est la localisation des données mais leur contrôle. Microsoft peut faire appel de cette décision mais la question est posée et pourrait trouver une réponse nouvelle liée à l’évolution des technologies.

C’est évidemment un risque supplémentaire que doivent prendre en considération les DSI quand ils choisissent un fournisseur de services cloud. Qui contrôle les données et où sont-elles stockées ? Qu’est-ce que le mot contrôler signifie désormais : gérer, stocker, avoir les droits, assurer la protection ? La souveraineté des données est-il un concept qui s’applique encore ? Si l’entité qui contrôle est la filiale française d’une société étrangère ou vice-versa, quelle loi appliquer ? Au fur et à mesure que le cloud se développe, de nombreuses questions sont en train d’émerger.

Dans ce contexte, les DSI doivent réévaluer quelles sont les données qui doivent être stockées en interne et quelles sont celles qui peuvent être gérer dans un cloud. Ensuite, ils doivent être très attentifs aux contrats rédigés par les fournisseurs de services cloud pour savoir qui a accès et qui contrôle les données. Pour le cabinet Robert Francis Group qui vient de publier une notre sur le sujet (Storms on the cloud Horizon) considère que le chiffrement des données peut être une réponse adéquate dans l’hypothèse où celui est sous le contrôle de l’entreprise et non du fournisseur (qui n’a donc aucun droit de les déchiffrer).