Documente Academic
Documente Profesional
Documente Cultură
Cloud160x240.indd 1
ISBN 978-2-35267-395-8
9 782352 673958
10,00
Guide pratique
sur le bon usage
du Cloud Computing
par les cabinets
dexpertise-comptable
Edition 2014
26/09/14 17:21
Guide pratique
sur le bon usage
du Cloud computing
par les cabinets
d'expertise comptable
Edition 2014
ISBN : 978-2-35267-395-8
Remerciements
Ce guide pratique a t labor par le groupe de travail cloud , prsid
par Michel BOHDANOWICZ, sous lgide de la Commission Innovation
technologique prside par Jean SAPHORES.
Ont collabor sa rdaction :
Prface
Larrive du cloud dans les cabinets dexpertise-comptable change
considrablement les pratiques professionnelles : la production peut se
faire de manire plus collaborative, plus itinrante, plus souple. La
relation client sen trouve bouleverse : en crant les conditions de
linteractivit, la production devient une co-production avec le client.
La contrepartie de ces avantages est la perte de contrle du cabinet sur
ses donnes. Bien que les problmatiques daccessibilit et de
conservation des donnes aient toujours exist, quelles soient sur papier
ou sur disque dur, elle est plus prgnante sur le cloud. En effet, les
donnes sont entre les mains des fournisseurs de solutions cloud, et les
oprations ne peuvent tre excutes de manire autonome par le
cabinet. Cest pourquoi il est indispensable de minimiser la perte de
contrle du cabinet vis vis de ses donnes en exigeant des fournisseurs
des garanties en termes de libert, dautonomie, dindpendance et de
scurit.
Face lasymtrie dinformation entre cabinets et diteurs, il tait du
devoir de linstitution dapporter aux cabinets une plus grande matrise
des enjeux techniques et conomiques du cloud, de leur permettre de se
poser les bonnes questions, davoir en tte les points de vigilance au
moment de la signature du contrat.
Ainsi, conformment aux engagements de la mandature, le Conseil
suprieur met disposition des consurs et confrres un guide pratique
sur le cloud, spcifique la profession. Il a aussi propos aux fournisseurs
cloud de signer une charte dengagement de bonnes pratiques vis--vis des
professionnels de lexpertise-comptable. Elle vous permettra didentifier
les diteurs qui souhaitent sengager, en toute transparence, pour garantir
lindpendance des cabinets. Elle permettra galement de structurer
lensemble des questions stratgiques se poser et poser aux
fournisseurs, dans le cadre dune ngociation dun contrat de fourniture de
cloud. Cette charte apportera, je lespre, la srnit dont les cabinets
ont besoin pour assurer une dmatrialisation totale et scurise de leur
production.
Michel BOHDANOWICZ
Responsable du groupe de travail cloud
du Conseil suprieur de l'ordre des experts-comptables
Introduction
Que ce soit dans les mdias, dans le discours de vos fournisseurs, dans
votre usage professionnel ou personnel, le Cloud computing est partout.
volution ou rvolution ? Technologie, usage ou modle conomique ? Une
grande confusion rgne quand il faut dfinir et expliquer ce quest le
cloud.
Lobjectif de ce guide est tout dabord dexpliquer ce quest le Cloud
computing, ses avantages et ses risques, les usages et les bonnes pratiques
pour un cabinet dexpertise-comptable. Comprendre les offres des
fournisseurs, vrifier la conformit, anticiper les risques autant de
challenges auxquels sont confronts aujourdhui tous les mtiers face au
cloud.
Au final, il permettra chacun de dresser une check-list des
recommandations et des points dalertes surveiller, et de slectionner
les offres du march adaptes son activit.
Sommaire
Remerciements........................................................................ 3
Prface .................................................................................. 4
Introduction ............................................................................ 5
Partie 1
LES FONDAMENTAUX
1
Partie 2
LES APPORTS DU CLOUD POUR LE CABINET ET SES CLIENTS
1
Partie 3
LA MISE EN PLACE DU CLOUD AU SEIN DU CABINET
1
Indpendance ................................................................ 39
2.1 Rversibilit ............................................................. 39
2.2 Interoprabilit ......................................................... 42
2.3 Dure et nature de lengagement ................................... 44
2.4 ATAWAD .................................................................. 46
2.5 Accessibilit des donnes par le cabinet ........................... 48
2.6 Accessibilit des donnes par les clients du cabinet ............. 50
2.7 Proprit des donnes ................................................. 53
Scurit ....................................................................... 54
3.1 Confidentialit des donnes .......................................... 54
3.2 Disponibilit des donnes ............................................. 56
3.3 Authentification ......................................................... 61
3.4 Protection des donnes ................................................ 62
3.5 Sauvegardes des donnes par le prestataire ....................... 63
3.6 Autres risques ........................................................... 64
Lgislation .................................................................... 65
4.1 Localisation des donnes .............................................. 65
4.2 Autres obligations juridiques ......................................... 68
Conclusion
Lexique
LE LEXIQUE DU CLOUD : RECENSEMENT DES PRINCIPALES DEFINITIONS 75
Annexes
CONFORMITE CLOUD 2014 ET 2015 LES RECOMMANDATIONS DU
CONSEIL SUPERIEUR DE L'ORDRE DES EXPERTS-COMPTABLES
83
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
Les fondamentaux
11
Il faut garder lesprit que le Cloud computing nest pas quun concept
technologique, cest aussi et surtout un modle conomique. Pour
complter cette dfinition officielle , voici trois dfinitions vues sous
langle de lusage, de la technologie et du modle conomique et qui
permettront de se faire une ide plus globale :
12
Historique du cloud
2.1 Usage
2.1.1 Le cloud, llectricit du XXIe sicle
Lorsque llectricit arrive au dbut du XXe sicle dans les usines, elle
ouvre une nouvelle re dans la rvolution industrielle. Dsormais, lnergie
nest plus produite sur place par dimposantes machines vapeur, mais
acquise auprs dun fournisseur distant travers un rseau dalimentation.
Aujourdhui, le carburant de lindustrie est linformation.
Linformatique rgit tous les secteurs de lconomie : la finance, la
dfense, ladministration, la sant, la vie quotidienne Larrive
dInternet a redfini les rapports entre les gouvernements, les entreprises
et les individus. La rvolution numrique a cr de nouveaux usages, de
nouvelles opportunits Lavnement du Cloud computing est un
phnomne similaire larrive de llectricit. Les entreprises nont plus
besoin de produire sur place leur nergie informatique, elle est disponible
via Internet. Linformatique devient une commodit.
2.2 Technologie
2.2.1 Do vient le terme cloud ?
Depuis que les rseaux informatiques existent, on a toujours reprsent
dans les diagrammes lInternet public sous forme dun nuage. Dans un
rseau dentreprise, on sait toujours do part linformation, par o elle
passe et o elle arrive. Sur Internet, les machines ont des adresses
dynamiques, cest--dire souvent imprvisibles, linformation fait en
gnral le tour du monde sans que lon puisse prdire lavance quel
chemin elle va prendre et elle arrive coup sr destination sans que lon
sache exactement ladresse physique du destinataire. Cest pour simplifier
la reprsentation de ce routage dynamique, pour masquer sa complexit
quon utilise une reprsentation nbuleuse, le nuage.
13
Ainsi, pour reprsenter trois sites distants relis par Internet, on utilise le
schma suivant :
14
de nombreux ASP proposent encore des applications en mode clientserveur qui ncessitent linstallation dun logiciel sur le poste client,
les solutions SaaS ne ncessitent quun navigateur Web ;
15
On peut faire une analogie avec le fonctionnement dune entreprise avec ses
services (Achats, Ventes, Comptabilit), le service Achats de lentreprise A
peut par exemple dialoguer avec le service Ventes de lentreprise B.
Une dclinaison du service est le Service Web qui utilise les technologies
du Web. Par exemple lorsquun site de-commerce utilise un systme de
paiement tiers ou envoie un ordre de livraison un transporteur, il utilise
des services Web.
16
Larchitecture SOA a connu son heure de gloire puis est un peu tomb dans
loubli. Le Cloud computing sinspire largement de cette architecture et la
remet au got du jour en la virtualisant.
2.2.3.4 La virtualisation
La virtualisation est lun des fondements du Cloud computing.
Elle consiste recrer sur une machine hte un environnement complet
matriel ou logiciel de manire totalement virtuelle, cest--dire
logicielle. Cest une technique ancienne puisque dj en 1979 les
mainframes IBM taient capables de virtualiser leur systme dexploitation
et faire tourner ainsi plusieurs machines virtuelles (VM, Virtual Machine)
dans la mme machine physique.
Par la suite, la virtualisation de systme dexploitation arrive sur les
micro-ordinateurs, avec la possibilit par exemple de faire tourner
Windows sur un Mac et vice-versa (avec VirtualPC, Parallels).
Plus rcemment, la virtualisation de serveurs permet de faire tourner
dans un mme serveur physique plusieurs serveurs virtuels avec des
systmes dexploitation diffrents et des applications spcifiques chaque
systme dexploitation.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
17
2.2.3.5 La dmatrialisation
Linformatisation des entreprises conduit inexorablement vers la
dmatrialisation, cest--dire le remplacement des supports physiques
dinformations par des supports numriques : lemail a supplant le fax,
lEDI a remplac les changes de documents papier, lenvoi de fichiers via
Internet sest substitu lenvoi de disquettes ou CD-Rom.
Lanne 2012 marque un tournant dans la dmatrialisation en France, les
administrations sont en mesure de recevoir des factures dmatrialises.
Le plan France numrique 2020 prvoit que le papier devra tre
dfinitivement abandonn et l'intgralit des dmarches administratives
devront tre dmatrialises.
Pour le cabinet, le Cloud computing est une dmatrialisation de linformatique.
2.2.4 Economie
2.2.4.1 Vers une conomie de services
Lconomie industrielle, base sur la production et la consommation de
biens, traverse une crise. Les conomistes le constatent, nous vivons une
phase de mutation o nous passons dune conomie industrielle une
conomie de services dmatrialise mondialise ultra-connecte 1. Des
phnomnes comme lconomie du partage, favorise par la rcession et
facilite par Internet, remet en cause la valeur de la possession au profit
de la valeur de lusage. On prfre aujourdhui louer une voiture le jour o
lon en a besoin, plutt que de la possder en permanence, lassurer,
lentretenir, la garer pour ne lutiliser que quelques jours par an.
1 LesEchos.fr, Mutation conomique : dune conomie industrielle une conomie de services
dmatrialise mondialise ultra-connecte , (www.lesechos.fr/idees-debats/cercle/cercle-96979mutation-economique-dune-economie-industrielle-a-une-economie-de-services-dematerialiseemondialisee-ultra-connectee-1004178.php) 2014.
18
19
20
21
22
23
24
Les donnes sont gres par le fournisseur de cloud, sans visibilit pour le
client sur les modalits de conservation de celles-ci : elles peuvent tre
stockes aussi bien sur les serveurs du fournisseur lui-mme, que chez lun
de ses sous-traitants. Ces infrastructures sont par ailleurs bien souvent
rparties sur des sites implants dans diffrents pays, rendant peu
prdictible la localisation des donnes de lutilisateur. Ce qui peut tre
rdhibitoire pour la gestion de donnes dont la golocalisation est
primordiale (par exemple les donnes caractre personnel dune
entreprise). Dans ce cas, le choix dun cloud public localis en France
(Clouds souverains, oprateurs de cloud franais) simpose.
25
Les donnes stockes sur les cloud publics peuvent, dans la plupart des
cas, bnficier dun statut priv , mais la robustesse de la protection
reste limite le plus souvent celle dun mot de passe. Le fournisseur
sengage sur la disponibilit de laccs aux donnes et moins sur la
protection de cet accs. Une entreprise peut par exemple fournir ses
collaborateurs une messagerie lectronique sappuyant sur linfrastructure
Gmail, aux couleurs de lentreprise, accessible sur le web par un simple
identifiant/mot de passe.
Les fournisseurs de cloud public proposent galement aux entreprises des
applications davantage spcialises, allant de la gestion des forces de
ventes lERP en ligne. Ce type doffres peut disposer dune protection de
laccs aux donnes plus labore que le simple statut priv voqu cidessus.
Selon Synergy Research, Amazon Web Services domine le cloud public avec
46 % du march au quatrime trimestre 2013. IBM, numro deux sur ce
segment, reste neuf fois plus petit avec une part de seulement 5 %.
26
29
Selon le rapport de PAC (Pierre Audoin Consultants) sur ltat du cloud en France
en juin 20143, le besoin en flexibilit reste la premire raison du passage au cloud
(63 %), devant la volont de rduire les cots (56 %) et le dveloppement de
produits, solutions ou dmarches innovants (41 %).
30
le BYOD (Bring Your Own Device), une tendance qui touche toutes les
entreprises. Laccs distance favorise lutilisation dappareils
personnels pour lactivit du cabinet. Le collaborateur peut tre
amen utiliser son propre ordinateur portable, sa tablette ou son
smartphone pour accder aux applications de lentreprise. Dans un
systme dinformation classique, chaque machine connecte au rseau
de lentreprise doit tre configure avec des droits daccs
spcifiques, des applications clientes, etc. Avec le cloud, plus besoin
de paramtrages, un navigateur Web suffit. Seule la scurit de laccs
aux applications est ncessaire ;
31
Chaque anne, 600 000 ordinateurs portables sont perdus dans les
aroports amricains, et parmi eux 53 % contenaient des informations
confidentielles de leur entreprise5. La perte dinformations peut avoir
de graves consquences. Un risque qui nexiste pas avec le cloud
puisque les donnes sont hberges chez le fournisseur.
Selon une tude mene par Accenture et WSP Environment & Energy6,
le Cloud computing rduirait globalement lempreinte carbone des
entreprises. Un datacenter, mme sil consomme normment
dnergie, en consomme moins que la somme des datacenters quil
4
FrenchWeb.fr, 3 start-ups franaise pour en finir avec les contrats papiers, (http ://frenchweb.fr/3start-ups-francaises-pour-en-finir-avec-les-contrats-papiers/152488), 2014.
5
Ponemon.org, New study reveals up to 12.000 laptop computers lost weekly and up to 600.000 lost
annually in U.S Airports, (http ://www.ponemon.org/news-2/8), 2008.
6
Hup Presse Microsoft France, Microsoft.fr, Le cloud Computing rduit lempreinte carbone des
entreprises , (http ://www.microsoft.com/france/Hub-Presse/communiques-de-presse/fichecommunique.aspx ?eid=351f7348-d177-4224-a353-c6ffe98f0cbe), 2010.
32
la gestion des cots devient plus souple, laffectation des cots plus
claire grce la facturation l'utilisation. Dans le cas d'une baisse
d'activit conjoncturelle ou saisonnire, le cabinet peut faire des
conomies en rduisant l'utilisation d'une application ou d'un service
particulier, chose impossible dans un environnement informatique
traditionnel dans lequel les capitaux sont dj investis. A l'inverse, en
cas de pic d'activit, il peut instantanment accroitre la capacit
rpondre la demande et ainsi viter de perdre des clients et du
chiffre d'affaires.
33
34
Dans les pages suivantes, sont prsentes les bonnes questions poser aux
fournisseurs.
La mise en place
du cloud
au sein du cabinet
37
38
7
http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_
qui_envisagent_de_souscrire_a_des_services_de_ cloud.pdf
39
Indpendance
2.1 Rversibilit
Cest sans doute la premire question se poser : avant mme de rentrer
dans le cloud dun fournisseur, pourra-t-on en sortir ? Il est indispensable
ds le dbut du contrat den prvoir sa fin, et tout particulirement
davoir la certitude quil sera possible, en fin de contrat ou cas de rupture
du contrat, de rcuprer ses donnes.
Une clause de rversibilit doit permettre de prvoir la capacit du
fournisseur restituer les contenus, mais galement les lments de
traabilit associs aux contenus (journalisation des archives).
La rversibilit sur le cloud est la capacit qua un fournisseur de restituer
leurs propritaires les donnes numriques qui lui ont t confies en en
garantissant la valeur et lintgrit.
Il sagit pour le fournisseur de respecter une correspondance entre ce qui a
t vers et ce qui doit tre restitu, quels que soient les vnements qui
auraient pu avoir lieu dans lintervalle de temps entre le versement et la
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
40
Conformit cloud :
Le fournisseur de services cloud exporte toutes les donnes,
documents et fichiers de lexpert en format libre ASCII ou selon des
standards du march.
Recommandation n 1.1.1
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud exporte toutes les donnes et
documents dun dossier au format ADN Compta.
41
Conformit cloud :
Le fournisseur de services cloud
immdiate dossier par dossier.
permettre
une
rcupration
Recommandation n 1.1.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud permet une rcupration globale de
tous les dossiers du cabinet ventuellement avec un dlai de sept
jours.
2.1.1.3 Quel est le cot de la rcupration
des donnes ?
Conformit cloud :
Le fournisseur de services cloud ne facture pas de supplment pour la
rcupration dossier par dossier.
Recommandation n 1.1.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud permet une rcupration globale par
tlchargement de tous les dossiers du cabinet sans supplment de
prix.
2.1.1.4 Lditeur propose-t-il un retour en mode local ?
Conformit cloud :
Le fournisseur de services cloud proposant les deux modes
dexploitation de sa solution (local et cloud) permet le retour en mode
local, pendant les 3 mois suivant une souscription loffre cloud.
Recommandation n 1.1.4
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud proposant les deux modes
dexploitation de sa solution (local et cloud) permet le retour au mode
local tout moment.
42
Conformit cloud :
Le fournisseur de services cloud informe clairement, ds la signature
du contrat, de la dure de conservation des donnes aprs la fin de
celui-ci.
Recommandation n 1.1.5
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud fournit un service automatique
darchivage dans un format standard des donnes vers un tiers de
confiance.
2.1.1.6 Existe-t-il un service cloud permettant de rexploiter les donnes aprs la fin du contrat ?
Conformit cloud :
Le fournisseur de services cloud informe obligatoirement et clairement
ds la signature du contrat sur les services permettant de r-exploiter
les donnes aprs la fin du contrat (notamment en cas de contrle
fiscal).
Recommandation n 1.1.6
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud fournit un service, avec les donnes
sous contrle du cabinet, permettant de r-exploiter les donnes aprs
la fin du contrat (notamment en cas de contrle fiscal).
2.2 Interoprabilit
Le cabinet peut tre amen exploiter des solutions cloud ou logicielles
dorigine diffrentes pour la comptabilit, la bureautique, etc.
Linteroprabilit des solutions est un point essentiel pour le bnfice de
lexprience utilisateur. Elle garantit que les donnes de comptabilit des
clients du systme existant seront bien migres dans la solution cloud, que
les donnes de la solution cloud seront utilisables avec dautres solutions
cloud, avec des logiciels en local, etc.
43
Conformit cloud :
Le fournisseur de services cloud propose des web services ou
connecteurs entrants ou sortants avec dautres solutions diteurs, ou
la possibilit dimporter et dexporter les donnes principales et cls
de toutes les applications (avec information pralable sur les donnes
concernes).
Recommandation n 1.2.1
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud fournit des API permettant
limport/export automatique des donnes (avec information pralable
des donnes concernes).
2.2.1.2 Les donnes sont-elles utilisables avec tous les
logiciels bureautiques ?
Conformit cloud :
Le fournisseur de services cloud informe sur la politique de licences et
de gestion de la compatibilit des versions de loffre avec les
diffrents logiciels bureautiques.
Recommandation n 1.2.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud fournit des web services ou dautres
solutions techniques permettant le traitement des donnes par toute
solution bureautique souhaite par lexpert-comptable.
44
Conformit cloud :
Le fournisseur de services cloud met en uvre un SSO (single sign
on) permettant une navigation sans rauthentification entre les
applications dun mme diteur et intgre les nouvelles offres
dveloppes ou acquises dans ce dispositif.
Recommandation n 1.2.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud propose un SSO entre diteurs
diffrents (compatibles avec des solutions standards didentification
type OAUTH, SAML 2).
Conformit cloud :
Le fournisseur de services cloud nimpose pas une dure dabonnement
de plus de 36 mois.
Recommandation n 1.3.1
du Conseil suprieur de l'ordre des experts-comptables.
45
Excellence cloud :
Le fournisseur de services cloud nimpose pas une dure dabonnement
de plus de 24 mois et propose des tarifs diffrencis selon les dures
dengagement.
2.3.1.2 Le contrat est-il adaptable en nombre et en
dure de services et doptions la hausse et
la baisse ?
Conformit cloud :
Le fournisseur de services cloud adapte les dispositions contractuelles
(options destination des clients, notamment) relatives la dure et
au nombre de licences.
Recommandation n 1.3.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud propose une tarification totalement
adapte la consommation relle de ressources et aux nombre
dusagers.
2.3.1.3 Quelle est la dure de la reconduction tacite ?
Conformit cloud :
Le fournisseur de services cloud limite la dure de la tacite
reconduction 12 mois.
Recommandation n 1.3.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud propose un rengagement de 6 mois et
la possibilit sans engagement avec application dun tarif diffrenci.
2.3.1.4 Quel est le dlai de pravis ?
Conformit cloud :
Le fournisseur de services cloud respecte un pravis de 6 mois pour
dnoncer le contrat.
Recommandation n 1.3.4
du Conseil suprieur de l'ordre des experts-comptables.
46
Excellence cloud :
Le contrat prvoit un pravis de 3 mois pour lexpert-comptable et 9
mois pour le fournisseur de services cloud.
2.4 ATAWAD
Un des atouts du cloud rside dans louverture dans le temps, lespace et
les moyens : les applications et les donnes sont accessibles nimporte
quel moment, de nimporte o et partir de nimporte quel appareil. Ce
que traduit lacronyme ATAWAD (AnyTime, AnyWhere, AnyDevice).
47
Dans le cas des smartphones, le frein reste la taille de lcran. Pour tre
utilisable, le service devra avoir t conu pour rorganiser la disposition
des crans afin quils soient lisibles et manipulable tactilement sur un
smartphone. Techniquement, il faudra que lapplication ait t conue en
Responsive Design (design qui sadapte automatiquement la taille de
lcran).
Conformit cloud :
Le fournisseur de services cloud informe par avance des priodes
dindisponibilit programmes pour maintenance technique.
Recommandation n 1.4.4
du Conseil suprieur de l'ordre des experts-comptables.
Conformit cloud :
Le service cloud est accessible partir de tous les territoires connects
Internet partir dun simple navigateur WEB.
Recommandation n 1.4.1
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le service cloud est accessible avec des connexions basse vitesse ou
en conditions difficiles.
2.4.4.3 Quels sont les terminaux supports par le
service ?
Conformit cloud :
Tout terminal disposant dun navigateur Web standard HTML5 permet
daccder au service (ordinateur, tablette, smartphone).
Recommandation n 1.4.1
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le service cloud est conu pour une utilisation tactile (tablettes iOS et
Android) et pour laffichage en responsive design sur nimporte quelle
taille dcran (ordinateurs, tablettes et smartphones).
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
48
comment assurer
larchive) ?
lhistorique
de
la
traabilit
(larchive
de
49
Conformit cloud :
Le service cloud permet au cabinet de mmoriser ponctuellement un
dossier et le restaurer ultrieurement.
Recommandation n 1.4.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
La sauvegarde est possible pour lensemble des dossiers et restauration
ponctuelle.
2.5.1.2 Les sauvegardes du prestataire et leur
historique sont-ils accessibles ?
Conformit cloud :
Le fournisseur de services cloud donne laccs aux sauvegardes et
leur historique en prcisant les modalits pratiques et juridiques
(dossier par dossier, globalement, priode de consultation) dans le
contrat.
Recommandation n 1.4.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud ajoute une historisation des
sauvegardes et le paramtrage de cet historique.
2.5.1.3 Quinclut la traabilit ?
Conformit cloud :
Le fournisseur de services cloud conserve une traabilit de la dernire
modification ralise et des accs de chacun des collaborateurs.
Recommandation n 1.4.5
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
50
Excellence cloud :
Le fournisseur de services cloud historise les diffrentes modifications
ralises par collaborateur.
Conformit cloud :
Le fournisseur de services cloud sinterdit la consultation ou
lexploitation directe ou indirecte des donnes des clients du cabinet
dans un strict respect du secret professionnel.
Recommandation n 1.5.1
du Conseil suprieur de l'ordre des experts-comptables.
51
Conformit cloud :
Le fournisseur de services cloud tient compte du fait que le cabinet
doit pouvoir proposer son client des accs distincts des droits du
cabinet avec des droits diffrencis pour les utilisateurs du client.
Recommandation n 1.5.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud propose une gestion de groupes et de
droits fins par donnes.
Conformit cloud :
Le fournisseur de services cloud permet la gestion par le cabinet des
priodes consultables par le client.
Recommandation n 1.5.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud diffrencie
modification/consultation par priode et utilisateur.
les
droits
de
Conformit cloud :
Le fournisseur de services cloud proposer un ATAWAD en consultation.
Recommandation n 1.5.4
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Conformit cloud :
Le fournisseur de services cloud fournit une information claire sur la
structure des donnes et la frquence de mise jour.
Recommandation n 1.5.5
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
52
Excellence cloud :
Le fournisseur de services cloud garantit un partage sans dlai des
informations entre le cabinet et le client.
2.6.1.4 La traabilit des accs et des donnes clients
est-elle assure ?
Conformit cloud :
Le fournisseur de services cloud conserve la traabilit des accs des
clients et de leur dernire modification ralise.
Recommandation n 1.5.6
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud historise les modifications des
donnes.
Conformit cloud :
Le service cloud permet le verrouillage de la saisie par le client.
Recommandation n 1.5.7
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le service cloud permet un paramtrage par collaborateur, nature de
donnes, priode verrouiller.
2.6.1.5 Qui assure le support technique aux
utilisateurs ?
Conformit cloud :
Le fournisseur de services cloud fournit un support technique aux
utilisateurs.
Recommandation n 1.5.8
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud propose un support direct diteur, un
support cabinet ou un support mixte.
53
Conformit cloud :
Le fournisseur de services cloud propose une interface spcifique pour
le client en saisie et en restitution (tableaux de bord).
Recommandation n 1.5.9
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud publie des informations vers les
clients.
Recommandation n 1.6.1
du Conseil suprieur de l'ordre des experts-comptables.
Conformit cloud :
Le fournisseur de services cloud ne facture pas directement le client
du cabinet pour ses options, sans laccord de lexpert-comptable.
Recommandation n 1.6.2
du Conseil suprieur de l'ordre des experts-comptables.
54
Excellence cloud :
Le fournisseur de services cloud permet au cabinet de choisir, dossier
par dossier, qui est factur du client ou du cabinet.
2.7.1.2 Qui est propritaire des donnes ?
Conformit cloud :
Le fournisseur de services cloud inscrit au contrat que la proprit des
donnes est dvolue au cabinet.
Recommandation n 1.6.3
du Conseil suprieur de l'ordre des experts-comptables.
Recommandation n 1.6.4
du Conseil suprieur de l'ordre des experts-comptables.
Scurit
Lorsque lon voque le passage vers le cloud, la plus grande inquitude qui
sexprime concerne la scurit en gnral. Cette scurit reste dailleurs
le principal frein ladoption du cloud, comme le confirme les indicateurs
du Cloudindex8.
La scurit dans le cloud comprend quatre aspects principaux : la
confidentialit des donnes, la disponibilit des donnes, la sauvegarde
des donnes, et la scurit daccs au service.
55
Conformit cloud :
Le fournisseur de services cloud utilise un tunnel scuris entre le
client et les serveurs du prestataire avec un cryptage 128 bits au
minimum.
Recommandation n 2.1.1
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014
56
Excellence cloud :
Le cryptage est renforc avec des longueurs de 256 ou dautres
technologies plus dures.
3.1.1.2 Les donnes sont-elles chiffres sur les
serveurs du prestataire ?
Ce point nest pas aujourdhui une recommandation car il est lobjet dun
dbat entre la confidentialit des donnes, leurs disponibilits et la
performance des systmes. Lvolution des technologies permettra une
volution de nos recommandations dans une prochaine dition.
Si un chiffrage est mis en uvre. Les donnes sont chiffres avec une cl
dtenue par le cabinet. Un systme de gestion des clefs est disponible
(coffre-fort numrique, module matriel de scurit HSM).
57
Taux de
disponibilit
Indisponibilit /
jour
Indisponibilit /
mois
Indisponibilit /
an
99 %
00 :14 :23
07 :18 :17
87 :39 :29
99,9 %
00 :01 :26
00 :43 :49
08 :45 :56
99,99 %
00 :00 :08
00 :04 :22
00 :52 :35
99,999 %
00 :00 :00.4
00 :00 :26
00 :05 :15
Disponibilit
Indisponibilit / an
Tier I
99,671 %
29 heures
Tier II
99,741 %
22 heures
Tier III
99,982 %
94 minutes
Tier IV
99,995 %
26 minutes
http ://www.uptimeinstitute.org
http ://gridatacenter.org/la-classification-en-tiers-des-datacenter/
10
58
Des outils, tels qu'Outage Analyzer11 et Is It Down Right Now ?12, permettent
de surveiller en continu les interruptions de service dans le cloud.
11
12
59
avec une rplication en temps rel des donnes (haute disponibilit sur
un ou plusieurs sites).
Le PRA et le PCA ont pour objectif de minimiser les pertes de donnes et
d'accrotre la ractivit du fournisseur en cas de sinistre majeur. Fort
heureusement, grce au cloud, le PRA et le PCA sont du ressort du
fournisseur cloud. Le fournisseur devrait pouvoir garantir dans son PRA une
dure maximale dindisponibilit avant la reprise dactivit.
Le PCA doit quasiment tre transparent pour les utilisateurs, et doit
garantir l'intgrit des donnes sans perte d'information.
Conformit cloud :
Un contrat de niveau de service est intgr dans le contrat de
prestation ou joint en annexe du contrat
3.2.5.2 Le datacenter hbergeant le cloud est-il
certifi ou conforme un rfrentiel de
scurit des datacenters ?
Conformit cloud :
Le fournisseur de services cloud propose des data center scuriss par
certification ISO 27001 ou par une dclaration de conformit un
rfrentiel reconnu de scurit des data center.
Recommandation n 2.3.1
du Conseil suprieur de l'ordre des experts-comptables.
60
Conformit cloud :
Le fournisseur de services cloud communique le taux minimum annuel
de disponibilit du service.
Recommandation n 2.2.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Un taux de disponibilit de 99,8 % est garanti.
3.2.5.4 Quelle est la dure maximale dindisponibilit
du service prvue dans le PRA (ventuellement
sur un primtre fonctionnel rduit) aprs un
incident ?
Conformit cloud :
Le fournisseur de services cloud limite 4 heures maximum, aprs un
incident, le plan de reprise dactivit, ventuellement sur un
primtre fonctionnel rduit.
Recommandation n 2.2.2
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
La dure maximale dindisponibilit est limite 1 heure.
3.2.5.5 Quelle est le taux de disponibilit annuel du
service ?
Conformit cloud :
Le fournisseur de services cloud communique le taux minimum annuel
de disponibilit du service.
Recommandation n 2.2.3
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le taux minimum de disponibilit accept est de 99,8 %.
61
Conformit cloud :
Le fournisseur de services cloud indique dans le contrat le montant du
plafond dassurance responsabilit professionnelle ou dune clause
pnale en cas dindisponibilit du service.
Recommandation n 2.2.4
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Indemnisation du prjudice subi par le cabinet sans limite.
3.3 Authentification
Une partie non ngligeable des salaris utilisent le mme mot de passe
pour se connecter Facebook, Google et aux applications de
lentreprise. Selon le niveau de maturit des collaborateurs par rapport
la scurit, il vaut mieux parfois utiliser une authentification forte pour les
applications SaaS, si le fournisseur propose cette option. Il est galement
possible que le cabinet dispose pour ses collaborateurs dune
infrastructure de gestion des identits et de l'accs IAM (Identity access
management) et que lauthentification puisse passer par cette
infrastructure. Noublions pas que les membres de lOrdre peuvent
squiper dun certificat dauthentification Signexpert. Dans le cas de
lutilisation dune simple combinaison identifiant/mot de passe, il faudra
inciter les utilisateurs (experts et clients) avoir un mot de passe
spcifique pour les SaaS du cabinet.
Conformit cloud :
Lauthentification se fait par identifiant et mot de passe.
Excellence cloud :
Lauthentification est forte : Signexpert, cl tournante, certificat
numrique, biomtrie,
62
laccs au site ;
63
Conformit cloud :
Laccs au site du fournisseur de services cloud se fait par badge
personnel.
Excellence cloud :
Lauthentification est renforce pour toute intervention matrielle.
3.4.4.2 Quels sont les moyens daccs aux serveurs du
prestataire ?
Conformit cloud :
Authentification forte et action limite de chaque administrateur.
Excellence cloud :
Monitoring de toutes les actions des administrateurs.
3.4.4.3 Quels sont les moyens daccs aux
applications ?
Conformit cloud :
Ladministration des accs aux applications est gre au travers dune
console
dadministration
avec
traabilit
des
actions
et
authentification.
64
Conformit cloud :
Le fournisseur de services cloud fournit une information claire dans le
contrat propos de la politique de sauvegarde et dhistorisation.
Recommandation n 2.2.1
du Conseil suprieur de l'ordre des experts-comptables.
65
mots de passe trop faciles deviner (mot de passe par dfaut, date de
naissance, prnoms des enfants), ou carrment inscrits sur des post-it
colls lordinateur ;
conformit cloud :
Le fournisseur de services cloud sengage proposer des data center
scuriss par certification ISO 27001 ou par une dclaration de
conformit un rfrentiel reconnu de scurit des data center.
Recommandation n 2.3.1
du Conseil suprieur de l'ordre des experts-comptables.
Lgislation
4.1 Localisation des donnes
4.1.1 Lenjeu de la souverainet des donnes
66
67
noublions pas que ces donnes sont soumises une lgislation franaise
similaire au Patriot Act, la Loi de Programmation Militaire (LPM). Celle-ci
autorise les services de renseignement franais surveiller les donnes des
individus et des entreprises franaises faisant lobjet dune enqute pour
scurit nationale et lutte anti-terrorisme, mais aussi de la sauvegarde
des lments essentiels du potentiel scientifique et conomique de la
France [], de la criminalit et de la dlinquance organises , incluant,
notamment, la contrefaon ou la lutte contre la fraude fiscale commise en
bande organise14. Les donnes comptables ne sont donc pas labri dune
telle surveillance.
Pour autant, il apparat impratif que les donnes soient hberges sur des
datacenters dans lUnion Europenne, ne serait-ce que pour tre en
conformit avec la loi de finances.
Conformit cloud :
Le fournisseur de services cloud sengage ce que les donnes soient
hberges dans lUnion Europenne ou dans un pays avec qui la France
a un accord de coopration fiscale.
Recommandation n 2.4.1
du Conseil suprieur de l'ordre des experts-comptables.
Excellence cloud :
Le fournisseur de services cloud sengage ce que les serveurs
principaux et redondants soient exclusivement localiss en France.
14
Alliancy.fr, Les enjeux de la loi de programmation militaire,
(http ://www.alliancy.fr/2014/05/23/juridique-les-enjeux-de-la-loi-de-programmationmilitaire_11581.html), 2014.
68
Conformit cloud :
Le fournisseur de services cloud sengage ce quen cas de litige, seuls
les tribunaux franais soient comptents et le droit franais soit
applicable.
Recommandation n 2.4.2
du Conseil suprieur de l'ordre des experts-comptables.
Conformit cloud :
Le fournisseur de services cloud informe les cabinets de la soustraitance et dventuelles clauses de porte fort.
Recommandation n 2.4.3
du Conseil suprieur de l'ordre des experts-comptables.
Conclusion
71
75
Lexique
76
77
Lexique
d'une
architecture rseau
78
99,671 %
Tier II
99,741 %
Tier III
99,982 %
Tier IV
99,995 %
Lexique
79
83
Annexe
84
1.1
Rversibilit
1.1.2
1.1.3
1.1.4
1.1.5
1.1.6
1.2
Le recours des solutions cloud dorigines diffrentes ncessite que cellesci communiquent entres elles au bnfice de lexprience-utilisateur.
85
Annexe
1.2.2
1.2.3
1.3
Le choix dune solution cloud pour son systme dinformation porte les
mmes engagements en termes de formation des collaborateurs,
dingnierie de migration et dorganisation interne quune solution en
mode local. Le cloud offre cependant de nouvelles perspectives dusages
ponctuels ou dynamiques selon la croissance ou dcroissance du cabinet et
la nature des clients. Ces lments doivent tre pris en compte dans la
dure et la nature des engagements.
Aussi les destinataires sengagent :
1.3.1
1.3.2
1.3.3
1.3.4
86
1.4
1.4.2
1.4.3
1.4.4
1.4.5
1.5
1.5.2
87
Annexe
1.5.3
1.5.4
1.5.5
1.5.6
1.5.7
1.5.8
1.5.9
1.6
Les enjeux de proprit des donnes sont plus prgnants dans les solutions
cloud.
Aussi les destinataires sengagent :
1.6.1
1.6.2
1.6.3
1.6.4
88
SECURITE
2.1
2.1.1
2.2
2.2.2
2.2.3
2.2.4
2.3
2.3.1
89
Annexe
2.4
2.4.2
2.4.3
3.1
3.2
3.3
3.4
90
Article 2 : Communication
Les destinataires de la prsente liste sont autoriss apposer sur leurs
supports de communication leur engagement de respecter lensemble des
recommandations du Conseil suprieur de l'ordre des experts-comptables
Conformit cloud suivi de lanne de validit.
Les destinataires bnficieront par ailleurs de la promotion de la liste de
recommandations Conformit cloud assure par le Conseil suprieur.
Article 3 : Dure
Compte tenu des volutions technologiques trs rapides, cette liste de
recommandations est valable jusquau 31 dcembre 2015 dans la version
actuelle.