Une économie mondialisée

Lorsque l’on parle de prestataire national, de quoi parle-t-on ? S’agit-il d’une entreprise côtée en bourse dont le siège social (et donc en théorie les impôts) se trouve dans votre pays ? Ou cela peut être une entreprise étrangère disposant d’un bureau et d’employés dans votre pays ?

Et quand bien même l’entreprise serait nationale, avec aucun bureaux à l’étranger, est-ce que cette entreprise externalise sa comptabilité ? Est-ce que son mécanisme de recrutement passe par une agence ? Achète-t-il des produits sur son propre territoire ? D’une manière ou d’une autre, il n’y a aucun moyen d’être certain qu’une partie du chiffre d’affaire que vous allez générer en tant que client ne va pas partir à l’étranger.

La limite se placera donc ici sur l’éthique et la responsabilité du prestataire :

  • A-t-il montré son implication dans la vie politique du pays (en interpellant les hommes politiques sur un sujet lié à son activité) ?
  • Quel est le pourcentage (estimé) de son activité à l’étranger, et quel est son historique ?
  • L’entreprise est-elle dans une perspective de croissance ou de réduction de son activité dans le pays ?

Le statut du salarié

Le prestataire peut être une entreprise ou un travailleur indépendant. Dans le cas d’un indépendant, il est plutôt évident si celui-ci travaille sur le territoire ou pas. Mais dans le cas d’une enterprise ? Emploi-t-elle un commercial chez vous pour ensuite faire effectuer le travail à l’étranger ?

Il existe trois moyens de faire travailler des salariés internationaux :

  • L’entreprise nationale sous-traite à une entreprise étrangère ou un travailleur indépendant à l’étranger. Il s’agit d’un contrat de sous-traitance classique.
  • Le salarié étranger est recruté par l’entreprise nationale et vient travailler dans l’entreprise sur le territoire national. Dans ce cas, il est considéré comme un salarié national, il est soumis aux mêmes règles, cotisations sociales, et taxes (mais pas nécessairement le même salaire), et sa venue nécessite l’obtention d’un permis de travail.
  • L’entreprise emploie des travailleurs détachés : ce sont des salariés d’un pays étranger qui viennent effectuer le travail dans un pays d’accueil le temps d’une mission, en conservant le statut juridique et social (et les salaires) de leur pays d’origine. Ce type de travail est très peu fréquent en informatique car il signifie des défraiements supplémentaires et se justifie pour les entreprises ayant besoin d’une présence physique de l’employé, comme le BTP ou l’événementiel.

Alors comment s’assurer du patriotisme de l’entreprise au niveau de la gestion de son salariat ?

  • L’entreprise a une adresse dans votre pays ?
  • Vous pouvez vérifier que ses ingénieurs travaillent bien dans ces bureaux ? Vous leur avez rendu visite pour signer le contrat ?
  • Le travail ne nécessite pas de pièces ou de savoir-faire particulier venant de l’étranger ?

« Patriotisme logiciel » ?

Le fait que les salariés soient des citoyens de votre pays, c’est bien. Qu’ils utilisent des services et des produits nationaux, c’est mieux. Mais sans aller jusqu’à ne pas utiliser les logiciels des géants américains (Cisco, IBM, Microsoft, Apple, etc), est-ce que le logiciel que vous avez commandé a bien été conçu et développé sur le territoire national ?

La plupart des logiciels d’entreprise (Microsoft Office, SAP, Oracle…) sont des logiciels existants pour lesquels le prestataire a acquis une licence, et dont il se charge de la personnalisation, la mise en service, et la maintenance. Le problème de ces logiciels c’est qu’ils ont une facheuse tendance à vous cacher des choses : ce sont souvent des boîtes noires dans lesquels le prestataire national n’a que peu de contrôle et peu de marge de manoeuvre. Vous n’aimez pas quand votre prestataire vous dit qu’il n’y peut rien faire et qu’il faut voir avec l’éditeur ? Alors ne transférez pas votre confiance à l’éditeur.

Au-delà du risque lié à la méconnaissance du fonctionnement du logiciel ou de la fragilisation délibérée du logiciel par l’éditeur pour pouvoir vendre ses patchs et correctifs, ou encore de la dépendance à l’éditeur du logiciel par l’utilisation de formats et protocoles de données propriétaires, le risque d’espionnage industriel est bien réel. Feriez-vous confiance à un logiciel chinois pour équiper vos centrales nucléaires ? À un logiciel coréen pour vos smartphones (ah non ça c’est déjà le cas). Acceptez-vous que’une entreprise d’amérique du nord ai un accès privilégié au back-office de votre logiciel ?

Pour limiter l’impact d’une société externe sur votre logiciel, privilégiez les logiciels libres ou les solutions à base de logiciels libres. Les logiciels libres et ouverts offrent de meilleurs garanties pour votre entreprise parce que justement ils sont ouverts : un audit interne et externe du logiciel est plus facile, il n’est pas contrôlé par une seule entreprise, et il offre souvent plus de marge de manoeuvre au prestataire (donc moins de temps facturable pour arriver à faire quelque chose). De plus, la documentation souvent abondante des projets libres et l’aspect ouvert du programme de base (pas de “balles d’argent”) vous permettra de changer plus facilement de prestataire si besoin. Enfin, l’utilisation d’un logiciel libre n’implique pas forcément une obligation de redistribuer votre logiciel gratuitement ou d’en divulguer les secrets de fabrication (en particulier s’il s’agit d’un logiciel interne qui n’est pas distribué aux clients).

Traitements humains et traitements informatiques

D’accord les opérateurs sont nationaux, les logiciels sont nationaux, mais où et comment sont traitées les données ? En informatique, le travail humain ne représente qu’une petite partie du travail qui va être effectué sur les données manipulées par le logiciel. C’est justement le logiciel qui va effectuer les transformations sur vos données, et donc le travail.

L’emplacement de stockage et de traitement des données est donc important. Le logiciel pourrait être installé dans les locaux du prestataire, ou alors sur un serveur externe dans un territoire étranger. De même, les données pourraient être stockées sur le territoire national ou dans un centre de données à l’étranger. À l’échelle d’internet, ces détails techniques sont invisibles, et ils font déjà la fortune des fournisseurs de “cloud”.

Mais ces décentralisations sont parfois nécessaires, tout simplement parce que le prestataire n’a pas toujours l’infrastructure ou l’expertise lui permettant de fournir un stockage fiable et sécurisé des données. Une couche de chiffrement réalisé par le logiciel au moment de la transmission et du stockage des données permet de limiter les risques liés à une interception ou à un vol physique des données (saisie du disque dur, etc), et peut rendre la chose acceptable.

Des hommes et des lois

Le stockage et le traitement dans un pays étranger a également un autre impact, politique cette fois-ci.

Selon le gouvernement en place et les mesures prises pour protéger la vie privée ou se prémunir du terrorisme (deux visions souvent antagonistes), il peut exister des lois obligeant le propriétaire du centre de données à fournir des “tuyaux” vers les “grandes oreilles” du gouvernement. De même, il peut exister une obligation de rétention des fichiers logs et meta données même après résilisation du contrat.

Il peut aussi exister une restriction sur le type de contenus stockés (contenus à caractère politique ou pornographique), et une obligation d’accepter un contrôle des autorités sans décision de justice. Il pourrait aussi être demandé de fournir le mot de passe de déchiffrement pour accéder à ces contenus, et en cas de refus une saisie des disques durs pourrait être réalisée.

Cela représente donc aussi un risque supplémentaire vis à vis de l’espionnage industriel [4], du blocage et/ou du contrôle des infrastructures [5], ou de la perte des données (saisie abusive du disque dur).

Qu’en disent les institutions publiques ?

Dans le doute, il est bon de se renseigner auprès des institutions gouvernementales, pour éviter de prendre des décisions sous le coup de l’émotion. La CNIL française a par exemple émis un ensemble de recommandations pour les entreprises souhaitant utiliser des services “cloud” (stockage ou traitement externalisé). On peut le synthétiser par :

  • Identifier quelles sont les données à stocker dans le cloud (sensibles ou non).
  • Définir ses exigences de sécurité technique et juridique (contraintes légales et techniques à la mise en oeuvre).
  • Conduire une analyse de risques (perte de contrôle, dépendence technologique, faille dans la sécurité des données, réquisitions judiciaires…).
  • Bien choisir l’offre correspondant à son besoin (cloud public vs cloud privé).
  • Bien choisir son prestataire (celui qui offre les garanties suffisantes), avec une liste des éléments devant figurer au contrat.
  • Former ses employés à ce nouveau mode de gestion des données.
  • Faire de la veille et de l’audit sur le service fourni.

De même, l’ANSSI (française aussi) a émis un référentiel de ses exigences concernant la mise en oeuvre d’un service “cloud”.

Conclusion

En conclusion, je pense qu’il ne faut pas vouloir être plus royaliste que le roi.

  • Oui, en informatique de nombreux services sont décentralisés, et il est difficile de contrôler qui aura accès à vos données au cours de leur saisie, leur traitement, et leur stockage.
  • Si cela vous pose problème, vous pouvez signer une charte ou une clause de confidentialité avec le prestataire, et chiffrer extensivement vos données pour les sécuriser.
  • Dans le cas de risque d’espionnage industriel, n’oubliez pas de former vos équipes, ça serait dommage de barricader la porte et de laisser la fenêtre ouverte.
  • Si les informations sont vitales et confidentielles, utilisez les mécanismes de double authentification et de cloisonnement des responsabilités (voir les recommandations de l’ANSSI), ou demandez à votre prestataire de se faire certifier.
  • Et si vous travaillez dans un domaine relevant du secret défense… Qu’est-ce que vous espérez apprendre ici ?

Mais,

  • Oui, les prestataires nationaux travaillant avec des logiciels libres offrent de meilleures garanties de sécurité, condentialité, et pérénnité des données.
  • Oui, les prestataires nationaux comprennent mieux votre besoin, ils sont meilleurs en support et en assistance client, ils sont meilleurs pour vous renseigner sur les conséquences juridiques liés à votre application (rétention de données, rétention de fichiers log, obligation de chiffrement, etc).
  • Les données internes sensibles devraient rester en interne : stockées et traitées sur un serveur situé dans vos locaux derrière un pare-feu, avec votre politique de sécurité, d’alarmes, et de contrôle physique des accès. N’oubliez pas de donner un badge d’accès au prestataire si besoin, et de réaliser des audits.