Le dialogue avec les clients et prospects est une mine d’or en termes d’informations pour nous orienter dans le développement de nos services. Quand nous les écoutons, nous entendons souvent certains thèmes récurrents liés à la protection des données dans le modèle SaaS.
Une récente étude internationale de Gartner[1] révèle que les entreprises considèrent désormais les déploiements SaaS comme critiques pour les économies, les innovations et l’agilité qu’ils offrent. De même, les suites bureautiques dans le Cloud telles que Google Apps et Office 365 deviennent répandues en entreprise mais la perte de données, la confidentialité et la sécurité continuent de venir en tête des préoccupations. Et pourtant, lorsque les entreprises migrent vers des applications dans le Cloud, elles méconnaissent et sous-estiment souvent la nécessité d’envisager de recourir à un tiers pour la protection des données. C’est pourquoi il est essentiel de se questionner sur la meilleure méthode à adopter pour la protection des données sur les suites bureautiques Cloud.
Protection des données et sauvegardes dans le modèle SaaS
Les entreprises qui adoptent le modèle SaaS pensent couramment qu’une solution telle que Google Apps ou Office 365 déployée dans le Cloud, ne nécessite pas forcément de sauvegarde ni de restauration. Or environ 32 % des utilisateurs d’applications SaaS[1] ont perdu des données dans celui-ci.
Comment est-ce possible ? Bon nombre de ces utilisateurs ne saisissent pas totalement la répartition des responsabilités entre leur prestataire de services et eux-mêmes en ce qui concerne la protection des données stockées dans les applications SaaS. L’engagement de niveau de service (SLA) de chaque prestataire contient des informations détaillées mais souvent peu claires sur la configuration et les règles relatives à chaque service. Il est difficile de s’y retrouver dans toutes les options et, même sil elles sont bien comprises, il existe visiblement des lacunes dans la capacité des prestataires à protéger et restaurer les données de leurs clients.
Par exemple, dans Office Exchange Online, les utilisateurs peuvent purger leurs dossiers d’éléments supprimés et d’éléments récupérables. Par défaut, les données sont définitivement effacées du dossier d’éléments récupérables au bout de 14 jours (ou 30 jours si l’administrateur prolonge cette durée manuellement). Faute de règles appropriées et d’un partenaire tiers pour la sauvegarde et la restauration, les utilisateurs peuvent se retrouver sans aucun recours pour récupérer ces données auprès de Microsoft.
Avec Google Apps, si un collaborateur quittant la société venait à « nettoyer » son disque en supprimant les dossiers partagés avec d’autres et en vidant la corbeille, ces données seraient perdues à jamais.
Les utilisateurs d’applications SaaS qui pensent que leurs données peuvent être récupérées grâce à un simple ticket de support ou coup de téléphone sont souvent déçus et paniqués d’apprendre que leur prestataire de services Cloud ne peut les aider à retrouver leurs données disparues à la suite d’une erreur humaine, d’un piratage, des agissements d’un employé malveillant, d’une erreur de synchronisation, etc.
Quelles responsabilités pour les prestataires et les clients ?
Les prestataires SaaS tels Google et Microsoft ne peuvent vous protéger contre vous-même. Ils accomplissent très bien leur travail pour faire fonctionner leurs applications et prévenir les pertes de données en raison d’une panne matérielle ou logicielle ou bien encore d’une catastrophe naturelle mais ils ne couvrent pas entièrement celles intervenant par la faute de l’utilisateur. En fait, ils indiquent explicitement qu’ils exécuteront toutes les actions demandées par votre entreprise.
Pourquoi en est-il ainsi ? Parce que les prestataires SaaS ont la responsabilité de traiter les données de leurs clients suivant les consignes de ces derniers. Si un client demande la suppression de telle ou telle donnée, son prestataire SaaS a l’obligation légale d’en supprimer chacune des copies de ses serveurs. Et si le client supprime des données par erreur ou est victime d’un employé indélicat cherchant à nuire à son entreprise ? Malheureusement, le prestataire SaaS n’a aucun moyen de connaître les intentions de la personne qui souhaite supprimer les données et, surtout, il ne peut pas en conserver une copie « au cas où » car, encore une fois, il a l’obligation légale de les effacer totalement.
Microsoft comme Google le stipulent clairement. Comme l’indique le Centre de gestion de la confidentialité d’Office 365[ 2] : « Les données stockées dans Office 365 vous appartiennent. Vous en êtes le propriétaire. Vous les contrôlez. » De même, Google avertit ses clients en ces termes : « Pour faire court, Google n’est pas propriétaire de vos données. » De toute évidence, la gestion et la protection des données dans les applications SaaS doivent être considérées comme étant du ressort conjoint du prestataire Cloud et du client.
Ce n’est cependant pas une raison pour se détourner des solutions bureautiques dans le Cloud. De nombreuses entreprises connaissent la même évolution, adaptant leurs processus et leurs règles, et cherchant des solutions qui les aident à protéger et sécuriser leurs données. Des solutions de sauvegarde et de restauration SaaS existent d’ores et déjà et aident des milliers d’entreprises à protéger leurs données critiques dans les applications SaaS et, plus important encore, ont à leur actif plus de 9 millions d’opérations de restauration, reléguant aux oubliettes les craintes de perte de données dans le Cloud.
De nombreuses entreprises cherchent à répondre aux besoins et enjeux de protection des données des applications SaaS et surtout bénéficier d’une sauvegarde journalière automatique. Ces sauvegardes critiques doivent être stockées dans une infrastructure sécurisée sur site car il est important que chaque application voit ses données régulièrement sauvegardées. Les nouvelles ressources informatiques sur le marché proposent désormais une prise en charge dynamique par des technologies Cloud, notamment au niveau des modes de stockages. Une infrastructure Cloud permet une sauvegarde automatisée, une restauration simple, rapide et granulaire de vos applications Cloud, et ce, sans limite de stockage.
[1] http://www.gartner.com/newsroom/id/2923217
[2] https://products.office.com/fr-fr/business/office-365-trust-center-cloud-computing-security
___________
Sébastien Verger est CTO chez EMC France