Вы находитесь на странице: 1из 91

19 rue Cognacq-Jay

75341 Paris cedex 07


Tl. +33 (0)1 44 15 60 00
Fax +33 (0)1 44 15 90 05
www.experts-comptables.fr

Cloud160x240.indd 1

ISBN 978-2-35267-395-8

9 782352 673958

10,00

Prix ttc valable en France Mtropolitaine

Guide pratique
sur le bon usage
du Cloud Computing
par les cabinets
dexpertise-comptable
Edition 2014

commission innovation technologique

Dans la mme collection :


Capital humain : quelle innovation pour un choc de comptitivit ?
Gestion des cabinets dexpertise comptable
Guide des missions de lexpert-comptable dassistance au comit
dentreprise, prvues par la loi et le rglement
Guide des services la personne
Guide du financement
Guide du Mcnat
Guide sur les obligations environnementales, sociales et socitales
Intelligence conomique
Lessentiel de lagricole
March de la profession comptable
Mission dvaluation - Guide pratique
Recueil des pratiques innovantes

collection des tudes Institutionnelles

Signature numrique de Jean


Saphores
Motif : Preuve de cration

26/09/14 17:21

Guide pratique
sur le bon usage
du Cloud computing
par les cabinets
d'expertise comptable
Edition 2014

ISBN : 978-2-35267-395-8

Toute reprsentation ou reproduction intgrale ou partielle sans le consentement de lauteur


ou de ses ayants droit ou ayants cause est illicite selon larticle L 122-4 du Code de la
proprit intellectuelle et constitue une contrefaon rprime par le Code pnal. Seules sont
autorises (art. L 122-5), les copies ou reproductions strictement rserves lusage priv du
copiste et non destines une utilisation collective, ainsi que les analyses et courtes citations
justifies par le caractre critique, pdagogique ou dinformation de luvre laquelle elles
sont incorpores, sous rserve, toutefois, du respect des dispositions des articles L 122-10
L 122-12 du mme code, relatives la reproduction par reprographie.

Remerciements
Ce guide pratique a t labor par le groupe de travail cloud , prsid
par Michel BOHDANOWICZ, sous lgide de la Commission Innovation
technologique prside par Jean SAPHORES.
Ont collabor sa rdaction :

Mylne BACCHI, expert-comptable

David BOUVET, expert-comptable

Denis CHAPEY, expert-comptable

Julien CHEVRY, expert-comptable

Bruno DESRUMAUX, expert-comptable

Marc DUJARDIN, expert-comptable

Eric FLAMENCOURT, expert-comptable

Eric GILLIS, expert-comptable

Joselyn ITALIQUE, expert-comptable

Romain LEMAIRE, expert-comptable

Christophe MILHEM, expert-comptable

Olivier MISSEMER, expert-comptable

Philippe MUNIESA, expert-comptable

Michle RAHIER, expert-comptable

Stphane RAYNAULT, expert-comptable

Andr VINCENT, expert-comptable

Les travaux ont t coordonns par Anne-Laure DUMAS, charge de


missions, Stphane GASCH, directeur des tudes informatiques du Conseil
suprieur de lordre des experts-comptables et Eric FERDJALLAH-CHEREL,
directeur des tudes du Conseil suprieur de lordre des expertscomptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Collection des tudes institutionnelles

Prface
Larrive du cloud dans les cabinets dexpertise-comptable change
considrablement les pratiques professionnelles : la production peut se
faire de manire plus collaborative, plus itinrante, plus souple. La
relation client sen trouve bouleverse : en crant les conditions de
linteractivit, la production devient une co-production avec le client.
La contrepartie de ces avantages est la perte de contrle du cabinet sur
ses donnes. Bien que les problmatiques daccessibilit et de
conservation des donnes aient toujours exist, quelles soient sur papier
ou sur disque dur, elle est plus prgnante sur le cloud. En effet, les
donnes sont entre les mains des fournisseurs de solutions cloud, et les
oprations ne peuvent tre excutes de manire autonome par le
cabinet. Cest pourquoi il est indispensable de minimiser la perte de
contrle du cabinet vis vis de ses donnes en exigeant des fournisseurs
des garanties en termes de libert, dautonomie, dindpendance et de
scurit.
Face lasymtrie dinformation entre cabinets et diteurs, il tait du
devoir de linstitution dapporter aux cabinets une plus grande matrise
des enjeux techniques et conomiques du cloud, de leur permettre de se
poser les bonnes questions, davoir en tte les points de vigilance au
moment de la signature du contrat.
Ainsi, conformment aux engagements de la mandature, le Conseil
suprieur met disposition des consurs et confrres un guide pratique
sur le cloud, spcifique la profession. Il a aussi propos aux fournisseurs
cloud de signer une charte dengagement de bonnes pratiques vis--vis des
professionnels de lexpertise-comptable. Elle vous permettra didentifier
les diteurs qui souhaitent sengager, en toute transparence, pour garantir
lindpendance des cabinets. Elle permettra galement de structurer
lensemble des questions stratgiques se poser et poser aux
fournisseurs, dans le cadre dune ngociation dun contrat de fourniture de
cloud. Cette charte apportera, je lespre, la srnit dont les cabinets
ont besoin pour assurer une dmatrialisation totale et scurise de leur
production.

Michel BOHDANOWICZ
Responsable du groupe de travail cloud
du Conseil suprieur de l'ordre des experts-comptables

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Introduction
Que ce soit dans les mdias, dans le discours de vos fournisseurs, dans
votre usage professionnel ou personnel, le Cloud computing est partout.
volution ou rvolution ? Technologie, usage ou modle conomique ? Une
grande confusion rgne quand il faut dfinir et expliquer ce quest le
cloud.
Lobjectif de ce guide est tout dabord dexpliquer ce quest le Cloud
computing, ses avantages et ses risques, les usages et les bonnes pratiques
pour un cabinet dexpertise-comptable. Comprendre les offres des
fournisseurs, vrifier la conformit, anticiper les risques autant de
challenges auxquels sont confronts aujourdhui tous les mtiers face au
cloud.
Au final, il permettra chacun de dresser une check-list des
recommandations et des points dalertes surveiller, et de slectionner
les offres du march adaptes son activit.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Sommaire
Remerciements........................................................................ 3
Prface .................................................................................. 4
Introduction ............................................................................ 5

Partie 1
LES FONDAMENTAUX
1

Les concepts fondamentaux du cloud .................................. 11

Historique du cloud ........................................................ 12


2.1 Usage ...................................................................... 12
2.2 Technologie .............................................................. 12

Les architectures du cloud ............................................... 18


3.1 Les modles de services : IaaS, PaaS, SaaS ........................ 18
3.2 Autres services .......................................................... 21

Les diffrents types de cloud ............................................ 22


4.1 Les typologies de cloud : interne/externe, priv/public ........ 22
4.2 Les modles de dploiement du cloud :
public, priv, communautaire, hybride ............................ 25

Partie 2
LES APPORTS DU CLOUD POUR LE CABINET ET SES CLIENTS
1

Une nouvelle vision de la production du cabinet .................... 29


1.1 Les atouts du cloud en matire dorganisation
et de production ........................................................ 29
1.2 Lintrt financier ...................................................... 32

Les nouveaux services du cloud ......................................... 33

Le cloud et les clients du cabinet ....................................... 34


Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Collection des tudes institutionnelles

Partie 3
LA MISE EN PLACE DU CLOUD AU SEIN DU CABINET
1

Les bonnes questions du cloud .......................................... 37

Indpendance ................................................................ 39
2.1 Rversibilit ............................................................. 39
2.2 Interoprabilit ......................................................... 42
2.3 Dure et nature de lengagement ................................... 44
2.4 ATAWAD .................................................................. 46
2.5 Accessibilit des donnes par le cabinet ........................... 48
2.6 Accessibilit des donnes par les clients du cabinet ............. 50
2.7 Proprit des donnes ................................................. 53

Scurit ....................................................................... 54
3.1 Confidentialit des donnes .......................................... 54
3.2 Disponibilit des donnes ............................................. 56
3.3 Authentification ......................................................... 61
3.4 Protection des donnes ................................................ 62
3.5 Sauvegardes des donnes par le prestataire ....................... 63
3.6 Autres risques ........................................................... 64

Lgislation .................................................................... 65
4.1 Localisation des donnes .............................................. 65
4.2 Autres obligations juridiques ......................................... 68

Conclusion
Lexique
LE LEXIQUE DU CLOUD : RECENSEMENT DES PRINCIPALES DEFINITIONS 75

Annexes
CONFORMITE CLOUD 2014 ET 2015 LES RECOMMANDATIONS DU
CONSEIL SUPERIEUR DE L'ORDRE DES EXPERTS-COMPTABLES
83
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Les fondamentaux

Partie 1 : Les fondamentaux

11

Les concepts fondamentaux du cloud

Il existe quantit de dfinitions du Cloud computing, ou informatique en


nuage. Les experts aiment dbattre sur le sujet. Voici la dfinition la
plus communment admise, celle du National Institute of Standards and
Technology (NIST), organisme rattach au gouvernement fdral
amricain :
Le Cloud computing est l'accs via un rseau de
tlcommunications, la demande et en libre-service,
des ressources informatiques partages configurables. Il
s'agit donc d'une dmatrialisation de l'infrastructure
informatique.

Il faut garder lesprit que le Cloud computing nest pas quun concept
technologique, cest aussi et surtout un modle conomique. Pour
complter cette dfinition officielle , voici trois dfinitions vues sous
langle de lusage, de la technologie et du modle conomique et qui
permettront de se faire une ide plus globale :

du point de vue de lusage, le cloud est un ensemble de ressources


informatiques
distantes
(stockage,
applications,
serveurs)
accessibles via Internet. Avec le cloud, on consomme de
linformatique. Linformatique devient une commodit ;

du point de vue technologique, le cloud est un espace virtuel rparti


sur plusieurs sites et rsistant aux pannes. Ce systme hberg chez un
fournisseur est constitu dune infrastructure, dune plateforme
applicative et/ou de logiciels la demande, exposs sous forme de
services ;

du point de vue conomique, le cloud est un modle de services. Le


client souscrit un service par abonnement. Le service est extensible
selon les besoins et factur la consommation. On passe dun modle
fond sur limmobilisation des capitaux un modle de cots
dexploitation.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

12

Collection des tudes institutionnelles

Historique du cloud
2.1 Usage
2.1.1 Le cloud, llectricit du XXIe sicle

Lorsque llectricit arrive au dbut du XXe sicle dans les usines, elle
ouvre une nouvelle re dans la rvolution industrielle. Dsormais, lnergie
nest plus produite sur place par dimposantes machines vapeur, mais
acquise auprs dun fournisseur distant travers un rseau dalimentation.
Aujourdhui, le carburant de lindustrie est linformation.
Linformatique rgit tous les secteurs de lconomie : la finance, la
dfense, ladministration, la sant, la vie quotidienne Larrive
dInternet a redfini les rapports entre les gouvernements, les entreprises
et les individus. La rvolution numrique a cr de nouveaux usages, de
nouvelles opportunits Lavnement du Cloud computing est un
phnomne similaire larrive de llectricit. Les entreprises nont plus
besoin de produire sur place leur nergie informatique, elle est disponible
via Internet. Linformatique devient une commodit.

2.2 Technologie
2.2.1 Do vient le terme cloud ?
Depuis que les rseaux informatiques existent, on a toujours reprsent
dans les diagrammes lInternet public sous forme dun nuage. Dans un
rseau dentreprise, on sait toujours do part linformation, par o elle
passe et o elle arrive. Sur Internet, les machines ont des adresses
dynamiques, cest--dire souvent imprvisibles, linformation fait en
gnral le tour du monde sans que lon puisse prdire lavance quel
chemin elle va prendre et elle arrive coup sr destination sans que lon
sache exactement ladresse physique du destinataire. Cest pour simplifier
la reprsentation de ce routage dynamique, pour masquer sa complexit
quon utilise une reprsentation nbuleuse, le nuage.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

13

Ainsi, pour reprsenter trois sites distants relis par Internet, on utilise le
schma suivant :

Le terme cloud est ainsi n et il est devenu progressivement synonyme


dInternet. Le terme Cloud computing est apparu pour la premire fois en
1996 chez le constructeur dordinateurs Compaq.

2.2.2 De lASP au SaaS


Vers la fin des annes 90, des hbergeurs Web commencent proposer des
applications sous forme de services, hberges dans leurs locaux et
utilisables distance travers un navigateur Web ou une application
cliente, en mode locatif : les applications ASP (Application Service
Provider) font leur apparition. Chaque fournisseur ASP gre ses propres
serveurs et fournit des applications utilisant des technologies propres, peu
ou pas interoprables avec les autres services ASP.
Arrivent alors sur le march de grands acteurs comme Amazon, Google,
Salesforce, qui proposent de vritables plateformes sur lesquelles les
diteurs dapplications vont sappuyer.
Salesforce.com lance en 1999 un service hberg de gestion de la relation
client (CRM, Customer Relationship Manager) que lon considre comme
lapparition du SaaS (Software as a Service), et qui deviendra
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

14

Collection des tudes institutionnelles

emblmatique de ce type de service. Le terme SaaS remplace


progressivement celui dASP. Les concepts sont trs proches, mais le SaaS
se distingue de lASP sur quelques points :

en gnral, les ASP hbergent et grent des applications tierces, alors


que les fournisseurs SaaS dveloppent leurs propres applications ;

de nombreux ASP proposent encore des applications en mode clientserveur qui ncessitent linstallation dun logiciel sur le poste client,
les solutions SaaS ne ncessitent quun navigateur Web ;

alors que la plupart des ASP maintiennent une instance spare de


lapplication pour chaque client (une excution en mmoire par
client), les solutions SaaS utilisent une architecture multi-tenant
(excution mutualise pour tous les clients), le contexte et les donnes
restent spcifiques chaque client.

partir de 2009, les diteurs de logiciels traditionnels rejoignent le train du


SaaS : IBM, Microsoft, HP, SAGE, SAP, Oracle, Cegid, Sage

2.2.3 Une volution des technologies


Dun point de vue technologique, le Cloud computing nest pas une
rvolution comme voudraient-nous le faire croire la plupart des acteurs,
mais une volution naturelle, la combinaison et laboutissement de
diffrentes technologies : larchitecture client-serveur, les techniques de
virtualisation, les standards dInternet, la dmatrialisation.
2.2.3.1 Les technologies Internet
Au milieu des annes 90, Internet se dmocratise auprs des particuliers et
des entreprises. Les entreprises y voient loccasion dunifier les interfaces
utilisateurs de leurs applications en utilisant les langages du Web (HTML,
CSS, JavaScript). Elles standardisent galement leur architecture rseau en
sappuyant sur les technologies Internet (TCP/IP, URL.). Aujourdhui, le
cloud expose ses services sur Internet. Ces services sont accessibles
travers un navigateur web en tapant leurs adresses URL.
2.2.3.2 Larchitecture client-serveur
Larchitecture client-serveur dcrit lorganisation dun rseau. Elle
sorganise autour dun ou plusieurs serveurs qui dlivrent des services
dapplications, de bases de donnes et de prsentation travers le rseau.
Les clients accdent aux applications travers une application cliente ou
un navigateur Web, on les appelle des clients riches. Lexemple le plus

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

15

Partie 1 : Les fondamentaux

connu darchitecture client-serveur est le Web lui-mme, ou encore


lemail.

Exemple darchitecture Client-Serveur [Source : Wikipedia]

Aujourdhui, le Cloud computing repose sur cette architecture, la


diffrence quici, les serveurs sont virtualiss.
2.2.3.3 Larchitecture de services
Le service, au sens logiciel, est un composant logiciel qui dlivre une
fonctionnalit et qui possde certaines caractristiques :

granularit large (dlivre une fonctionnalit large intgrant un


ensemble doprations) ;

couplage faible (peu dpendant du contexte ou dautres services) ;

communication aise avec les autres services, travers une interface


via des messages.

Pour assurer linteroprabilit des diffrents logiciels en entreprise et


inter-entreprises, il est ncessaire de mettre en place une architecture
oriente services (SOA, Service Oriented Architecture).

On peut faire une analogie avec le fonctionnement dune entreprise avec ses
services (Achats, Ventes, Comptabilit), le service Achats de lentreprise A
peut par exemple dialoguer avec le service Ventes de lentreprise B.

Une dclinaison du service est le Service Web qui utilise les technologies
du Web. Par exemple lorsquun site de-commerce utilise un systme de
paiement tiers ou envoie un ordre de livraison un transporteur, il utilise
des services Web.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

16

Collection des tudes institutionnelles

Architecture des Services Web [Source : W3C]

Larchitecture SOA a connu son heure de gloire puis est un peu tomb dans
loubli. Le Cloud computing sinspire largement de cette architecture et la
remet au got du jour en la virtualisant.
2.2.3.4 La virtualisation
La virtualisation est lun des fondements du Cloud computing.
Elle consiste recrer sur une machine hte un environnement complet
matriel ou logiciel de manire totalement virtuelle, cest--dire
logicielle. Cest une technique ancienne puisque dj en 1979 les
mainframes IBM taient capables de virtualiser leur systme dexploitation
et faire tourner ainsi plusieurs machines virtuelles (VM, Virtual Machine)
dans la mme machine physique.
Par la suite, la virtualisation de systme dexploitation arrive sur les
micro-ordinateurs, avec la possibilit par exemple de faire tourner
Windows sur un Mac et vice-versa (avec VirtualPC, Parallels).
Plus rcemment, la virtualisation de serveurs permet de faire tourner
dans un mme serveur physique plusieurs serveurs virtuels avec des
systmes dexploitation diffrents et des applications spcifiques chaque
systme dexploitation.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

17

Les entreprises ont commenc utiliser la virtualisation de serveurs pour


optimiser leur site informatique et proposer avec le mme matriel des
services supplmentaires moindre cot. Puis ces entreprises ont
commenc proposer lextrieur leur surplus de ressources
informatiques, devenant de ce fait des hbergeurs de services.

Cest ainsi que le site de-commerce Amazon, ayant largement


optimis ses centres de donnes au point den utiliser que 10 % de ses
capacits en temps normal, dcident de revendre ses surplus et lance
en 2006 Amazon Web services (AWS). Le premier grand service de
cloud public est alors n.

2.2.3.5 La dmatrialisation
Linformatisation des entreprises conduit inexorablement vers la
dmatrialisation, cest--dire le remplacement des supports physiques
dinformations par des supports numriques : lemail a supplant le fax,
lEDI a remplac les changes de documents papier, lenvoi de fichiers via
Internet sest substitu lenvoi de disquettes ou CD-Rom.
Lanne 2012 marque un tournant dans la dmatrialisation en France, les
administrations sont en mesure de recevoir des factures dmatrialises.
Le plan France numrique 2020 prvoit que le papier devra tre
dfinitivement abandonn et l'intgralit des dmarches administratives
devront tre dmatrialises.
Pour le cabinet, le Cloud computing est une dmatrialisation de linformatique.

2.2.4 Economie
2.2.4.1 Vers une conomie de services
Lconomie industrielle, base sur la production et la consommation de
biens, traverse une crise. Les conomistes le constatent, nous vivons une
phase de mutation o nous passons dune conomie industrielle une
conomie de services dmatrialise mondialise ultra-connecte 1. Des
phnomnes comme lconomie du partage, favorise par la rcession et
facilite par Internet, remet en cause la valeur de la possession au profit
de la valeur de lusage. On prfre aujourdhui louer une voiture le jour o
lon en a besoin, plutt que de la possder en permanence, lassurer,
lentretenir, la garer pour ne lutiliser que quelques jours par an.
1 LesEchos.fr, Mutation conomique : dune conomie industrielle une conomie de services
dmatrialise mondialise ultra-connecte , (www.lesechos.fr/idees-debats/cercle/cercle-96979mutation-economique-dune-economie-industrielle-a-une-economie-de-services-dematerialiseemondialisee-ultra-connectee-1004178.php) 2014.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

18

Collection des tudes institutionnelles

Pour les entreprises, la problmatique est la mme avec linformatique.


Plutt que dinvestir dans un site informatique avec ses machines et ses
techniciens pour lentretenir, pourquoi ne pas consommer de
linformatique travers le cloud ?
Le cloud est un service auquel on souscrit par abonnement, extensible en
fonction des besoins et factur la consommation.
Cest tout lenjeu conomique du Cloud computing : passer dun modle
fond sur limmobilisation de capitaux (CAPEX) un modle de cots
dexploitation (OPEX) bas sur lutilisation. On transforme ainsi des cots
fixes d'investissements en cots variables de consommation.

Les architectures du cloud

Comme tout nouveau domaine technologique, le Cloud computing arrive


avec son jargon, son lot de concepts et de dfinitions : SaaS, PaaS, IaaS,
clouds public/priv/hybride/communautaire, serveur virtuel, architecture
multi-tenant, rsilience Des termes quil est important de comprendre si
lon veut dialoguer avec des prestataires.

3.1 Les modles de services : IaaS, PaaS, SaaS


Le Cloud computing se dfinit tout dabord selon le niveau de services pris
en charge (ou niveau dusage vu du ct utilisateur) : IaaS, PaaS, SaaS.
Typiquement un systme informatique se dcompose en couches de
services :

tout en bas, on trouve le socle dinfrastructure matrielle : rseaux,


stockage, serveurs, puis

une couche de virtualisation qui optimise linfrastructure ;

le systme dexploitation qui interface le matriel avec le logiciel ;

les couches de middleware (logiciels intermdiaires entre le systme


dexploitation et les applications) : bases de donnes, intgration,
etc. ;

les runtimes (modules dexcution pour les applications) ;

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

19

et par-dessus de tout, les applications avec leurs donnes applicatives.

Dans un modle classique dinformatique sur site, (encore appel On


premise), lentreprise met en uvre et gre tous les services.
Le Cloud computing peut prendre en charge certains de ces services. Selon
le niveau de services pris en charge, on distingue trois modles de
services, qui dfinissent ainsi la rpartition des responsabilits : ce que le
fournisseur de cloud prend en charge et ce que lentreprise utilisatrice
doit grer de son ct.

Les modles de services

3.1.1 Le cloud dinfrastructure ou IaaS


Dans le modle IaaS (Infrastructure as a Service), le fournisseur de cloud
hberge toute la partie infrastructure : rseau, stockage, serveur et
virtualisation.
Le cabinet dispose alors dun datacenter virtualis prt lemploi sur
lequel il peut installer le systme dexploitation et la plateforme
dexcution de son choix (les logiciels serveurs, bases de donnes,
plateformes de dveloppement, applications spcifiques)
Ce modle offre un maximum de libert. Lunit de consommation de base
est la machine virtuelle et la facturation seffectue en fonction du temps
dutilisation et de la consommation rseau et stockage. Cest donc un
cloud de bas niveau, destin aux professionnels de linformatique, aux
diteurs de logiciels, aux directions des systmes dinformation.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

20

Collection des tudes institutionnelles

Parmi les grands fournisseurs dIaaS on trouve Amazon, Rackspace ou


OVH et Numergy en France par exemple.

3.1.2 Le cloud de plateforme ou PaaS


Dans le modle PaaS (Platform as a Service), le fournisseur de cloud prend
en charge, en plus de la partie infrastructure de lIaaS, toute la partie
middleware : systme dexploitation, bases de donnes, environnement de
dveloppement. Le cabinet dispose alors dune plateforme complte
dexcution sur laquelle il peut grer ses propres applications. Cest un
cloud destin avant tout aux dveloppeurs dapplications.

Sur le march du PaaS, on trouve des acteurs comme Salesforce


force.com, Microsoft Azure, Google App Engine ou OVH en France

3.1.3 Le cloud dapplication SaaS


Cest le modle le plus connu et le plus rpandu. Dans le modle SaaS, le
fournisseur de cloud prend tout en charge, depuis linfrastructure jusqu
lapplication finale. Le cabinet ne gre plus rien. Elle se contente
daccder lapplication via un navigateur web et paye pour consommer le
service la demande.
Dans ce modle, le cabinet na plus se soucier des mises jour
logicielles, elles sont assures par le fournisseur. En revanche, il na aucun
moyen de contrle sur les fonctionnalits de son application, et aucune
visibilit sur la localisation de ses donnes. Il sen remet compltement au
fournisseur de cloud.
Cette offre de cloud sadresse aux directions oprationnelles et gnrales
des entreprises, et dune manire gnrale tous les utilisateurs finaux
(PME, indpendants, startups, individus). Elle concerne donc directement
les cabinets dexpertise comptable, quil sexerce en libral ou en
association. Sont concernes les progiciels mtiers (finance,
comptabilit, paie.) ainsi que toutes applications de gestion pour PME
(bureautique, CRM, ERP).

Aujourdhui la plupart des grands diteurs de logiciels classiques ont pass


leurs offres pour entreprises en mode SaaS : Microsoft, Cegid, Sage

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

21

3.2 Autres services


Pour tre exhaustif, mentionnons galement dautres types de services
cloud que lon peut trouver :

BPaaS : le Business Process as a Service consiste externaliser un


processus mtier habituellement gr par un logiciel de BPM (Business
Process Management) ;

DaaS : le Desktop as a Service, le bureau en tant que service ou


bureau virtuel hberg est lexternalisation dun environnement de
travail standardis. Quelque que soit le terminal utilis, lutilisateur
retrouve son bureau, avec ses applications dentreprise ;

NaaS : le Network as a Service correspond la fourniture de services


rseaux, suivant le concept de Software Defined Networking (SDN),
une nouvelle manire de grer les rseaux de lanire logicielle ;

STaaS : le Storage as a Service, ou stockage en tant que service, ou


stockage en ligne, correspond au stockage de fichiers chez des
hbergeurs. Ce sont des services grand public trs populaires tels que
DropBox, Google Drive, iCloud, OneDrive. Les professionnels pourront
se diriger vers des offres telles que Amazon S3, Box.net, Hubic,
Cloudwatt,

les services marketing des fournisseurs de manquent pas dimagination


et sont prts inventer toutes sortes de nouveaux acronymes utilisant
le suffixe as a Service : Backend as a Service, Logging as a Service,
Security as a Service, IT as a Service, API as a Service, Mobility as a
Service, IoT as a Service Nous navons pas fini den entendre parler.

A RETENIR : Dans le cadre de votre activit de cabinet comptable, vous aurez


principalement faire des applications en mode SaaS.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

22

Collection des tudes institutionnelles

Les diffrents types de cloud

Aprs avoir vu les diffrents modles de cloud en fonction du niveau de


services pris en charge, nous allons voir comment les clouds sont classs en
fonction de leur dploiement : sont-ils hbergs dans lentreprise ou chez
le fournisseur ? Sont-ils accessibles en priv ou en public ?

4.1 Les typologies de cloud : interne/externe,


priv/public
Le CIGREF (Club Informatique des Grandes Entreprises Franaises) propose
une dfinition du cloud :

un cloud est toujours un espace virtuel ;

il contient des informations qui sont fragmentes ;

les fragments sont toujours dupliqus et rpartis dans cet espace


virtuel, lequel peut tre sur un ou plusieurs supports physiques ;

il possde un programme de restitution permettant de reconstituer


linformation.

Ces proprits permettent de dfinir quatre typologies de cloud, suivant


que :

la gestion du cloud est interne lentreprise ou externalise chez un


fournisseur ;

son usage est priv (rserv lentreprise) ou public (ouvert au grand


public ou une autre organisation externe lentreprise).

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

23

Ces quatre typologies se positionnent ainsi dans une matrice :

Typologie des clouds (source CIGREF)

4.1.1 Type 1 : le cloud gr en interne et usage priv


Il sagit de mette en place un service informatique interne lentreprise
utilisant des technologies du cloud, cest--dire essentiellement de la
virtualisation de serveurs. Lentreprise garde la matrise sur la
confidentialit de ses donnes comme dans une infrastructure classique.
La virtualisation, la mutualisation des ressources permet de faire des
conomies dexploitation et dapporter de lagilit et de la souplesse pour
la mise en place des applications dentreprise. Ce type dinformatique
cloudifie se justifie pour des organisations de grande taille.

4.1.2 Type 2 : le cloud gr en externe et usage


priv, communment appel cloud priv
Certains fournisseurs proposent des solutions mtiers cls en main qui
reposent la plupart du temps, et plus ou moins explicitement, sur une
infrastructure de type cloud. Ces solutions intgres sont hberges sur
linfrastructure du fournisseur, en accs priv pour lentreprise cliente via
un rseau scuris de type VPN. Lusage de ces infrastructures reste

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

24

Collection des tudes institutionnelles

partag entre plusieurs entreprises clientes, mais de manire limite.


Cest ce que les fournisseurs qualifient souvent de cloud priv .
Pour des organisations qui ont des besoins communs, le cloud peut
apporter une rponse mutualise avec le cloud communautaire, une
dclinaison du cloud priv.

On peut citer par exemple Amadeus pour le traitement des


rservations de voyage.

4.1.3 Type 3 : le cloud gr en interne et usage


ouvert
Il sagit dune typologie inverse la prcdente, lentreprise hberge ellemme son infrastructure de cloud et offre des services en externe des
clients. Cest le cas par exemple des GIE. Un cabinet dexpertise
comptable qui aurait mis en place son propre cloud en interne pourrait
galement ouvrir des services pour ses clients afin que ces derniers
puissent transmettre des pices comptables dmatrialises.
Comme pour la typologie de type 1, seules les entreprises de grande taille
peuvent justifier la mise en place dune infrastructure cloud en interne.

4.1.4 Type 4 : le cloud gr en externe et usage


ouvert, communment appel cloud public
Dans ce type de cloud, souvent nomm cloud public, les services sont
hbergs chez le fournisseur de cloud et sont accessibles en ligne sur
Internet par des individus ou des entreprises. Il sagit en gnral de
services dapplications Web ou de stockage destins au grand public.

On trouve par exemple des services de messagerie lectronique de


type Gmail, des suites bureautiques telles que Office 365 ou Google
Docs.

Les donnes sont gres par le fournisseur de cloud, sans visibilit pour le
client sur les modalits de conservation de celles-ci : elles peuvent tre
stockes aussi bien sur les serveurs du fournisseur lui-mme, que chez lun
de ses sous-traitants. Ces infrastructures sont par ailleurs bien souvent
rparties sur des sites implants dans diffrents pays, rendant peu
prdictible la localisation des donnes de lutilisateur. Ce qui peut tre
rdhibitoire pour la gestion de donnes dont la golocalisation est
primordiale (par exemple les donnes caractre personnel dune
entreprise). Dans ce cas, le choix dun cloud public localis en France
(Clouds souverains, oprateurs de cloud franais) simpose.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 1 : Les fondamentaux

25

Les donnes stockes sur les cloud publics peuvent, dans la plupart des
cas, bnficier dun statut priv , mais la robustesse de la protection
reste limite le plus souvent celle dun mot de passe. Le fournisseur
sengage sur la disponibilit de laccs aux donnes et moins sur la
protection de cet accs. Une entreprise peut par exemple fournir ses
collaborateurs une messagerie lectronique sappuyant sur linfrastructure
Gmail, aux couleurs de lentreprise, accessible sur le web par un simple
identifiant/mot de passe.
Les fournisseurs de cloud public proposent galement aux entreprises des
applications davantage spcialises, allant de la gestion des forces de
ventes lERP en ligne. Ce type doffres peut disposer dune protection de
laccs aux donnes plus labore que le simple statut priv voqu cidessus.

Selon Synergy Research, Amazon Web Services domine le cloud public avec
46 % du march au quatrime trimestre 2013. IBM, numro deux sur ce
segment, reste neuf fois plus petit avec une part de seulement 5 %.

4.2 Les modles de dploiement du cloud : public,


priv, communautaire, hybride
La classification des clouds par le CIGREF se veut prcise et fonctionnelle.
Pour sa part, le march du cloud dfinit des types de cloud en fonction des
offres commerciales. On parle ici de clouds publics, privs,
communautaires et hybrides, selon que loffre est dploye dans
lentreprise ou hberge chez le fournisseur.

On retrouvera certains lments de la classification du CIGREF.

4.2.1 Le cloud priv


On parle de cloud priv lorsque lentreprise dispose de sa propre
infrastructure cloud. Ce cloud peut tre gr en interne par lentreprise ou
hberg chez un fournisseur. Dans ce dernier cas, linfrastructure est
entirement ddie lentreprise et nest accessible que via des rseaux
scuriss de type VPN.
Le cloud priv convient aux grandes entreprises qui ont besoin de criticit
et de scurit des donnes.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

26

Collection des tudes institutionnelles

4.2.2 Le cloud public


Le cloud public est une infrastructure hberge chez un fournisseur et
dont les ressources mutualises sont accessibles plusieurs entreprises ou
au grand public via Internet. Le cloud public convient aux entreprises qui
veulent fournir un service ou une application web un large public. Cest
le modle le plus couramment utilis par les diteurs de solutions de
gestion.

4.2.3 Le cloud communautaire


Le cloud communautaire est une infrastructure partage par plusieurs
organisations qui ont des intrts communs comme par exemple des
exigences de scurit, de conformit. Ce cloud peut tre gr par les
organisations elles-mmes ou par un fournisseur tiers.

4.2.4 Le cloud hybride


Le cloud hybride est une structure mixte qui combine les ressources
internes dun cloud priv et les ressources externes dun cloud public. Une
entreprise qui utilise un cloud hybride peut par exemple utiliser les
ressources en interne en temps normal, et basculer ponctuellement et de
manire transparente sur un cloud public lors de pics dactivit.
A RETENIR : Dans le cadre de votre activit de cabinet comptable, vous aurez
communment faire du cloud public.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Les apports du cloud


pour le cabinet
et ses clients

Partie 2 : Les apports du cloud pour le cabinet et ses clients

29

Une nouvelle vision de la production du cabinet


1.1 Les atouts du cloud en matire dorganisation et
de production

En cette priode de crise, les cabinets cherchent des solutions pour


rduire leurs cots et accrotre leur comptitivit. Le cloud nest plus un
simple moyen de passer du Capex lOpex, mais bien un outil stratgique
au service de la croissance. 30 % des entreprises y recourent comme
soutien un changement de business model2. Voici les avantages en
termes dusage, de productivit, et de scurit pour les cabinets
dexpertise comptable :

la flexibilit : llasticit du cloud permet de rpondre rapidement


aux besoins du cabinet, que ce soit en priodes charges
(occasionnelles, saisonnires ou structurelles) ou en baisse dactivit.
La profession comptable connat un pic dactivit en priode de bilans
et en priode fiscale, et le cloud peut accompagner ces variations en
fournissant les ressources ncessaires au bon moment ;

Selon le rapport de PAC (Pierre Audoin Consultants) sur ltat du cloud en France
en juin 20143, le besoin en flexibilit reste la premire raison du passage au cloud
(63 %), devant la volont de rduire les cots (56 %) et le dveloppement de
produits, solutions ou dmarches innovants (41 %).

pour les petites structures ne disposant pas ou peu de comptences


informatiques en interne, le cloud leur permet laccs des services
jusque-l inaccessibles techniquement et financirement. Les
indpendants et les professions librales se retrouvent pied dgalit
avec les PME et les grandes entreprises quant laccs aux
fonctionnalits mtier. Le cabinet n'achte plus un logiciel de
comptabilit mais une somme de services tels la liasse fiscale, la
traabilit des factures lectroniques ou encore la dclaration sociale
nominative. Des services que le cabinet pourra faire voluer en
quelques clics, lorsquil verra sa taille crotre ou encore qu'elle ouvrira
des filiales, etc. ;

laccs distance aux applications du cabinet, de nimporte o,


nimporte quel moment, partir de nimporte quel terminal, permet

CloudIndex.fr (http ://www.cloudindex.fr/content/tous-les-r %C3 %A9sultats)

op. cit. (http ://www.cloudindex.fr/content/tous-les-r %C3 %A9sultats)

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

30

Collection des tudes institutionnelles

le travail en mobilit, le tltravail, les runions virtuelles. Le travail


gagne en ractivit et en agilit ;

la simplification du parc informatique : des netbooks (ordinateurs


portables lgers) ou des chromebooks (ordinateurs portables sans
systme dexploitation, juste un navigateur web) suffisent se
connecter au cloud. Cest un gain de place sur les bureaux et moins de
maintenance informatique ;

le BYOD (Bring Your Own Device), une tendance qui touche toutes les
entreprises. Laccs distance favorise lutilisation dappareils
personnels pour lactivit du cabinet. Le collaborateur peut tre
amen utiliser son propre ordinateur portable, sa tablette ou son
smartphone pour accder aux applications de lentreprise. Dans un
systme dinformation classique, chaque machine connecte au rseau
de lentreprise doit tre configure avec des droits daccs
spcifiques, des applications clientes, etc. Avec le cloud, plus besoin
de paramtrages, un navigateur Web suffit. Seule la scurit de laccs
aux applications est ncessaire ;

la formation rduite : laccs au cloud se fait via un navigateur, le


service utilise en gnral des pages web avec une interface familire.
Dune manire gnrale, la formation aux nouvelles interfaces en est
facilite ;

le cloud peut rsoudre le problme de lhbergement des donnes. Il


peut prendre en charge le stockage de donnes, les sauvegardes, le
coffre-fort numrique, larchivage lectronique. En cas de panne et de
reprise dactivit, la rcupration des donnes se fait en gnral plus
rapidement avec un service cloud que dans une architecture
informatique classique ;

les mises jour automatiques sont assures par le cloud : patches de


scurit, corrections de bugs, nouvelles fonctionnalits. Pour le
cabinet, cest lassurance de toujours travailler avec les outils les plus
fiables et les plus performants du moment ;

la collaboration interne : documents partags, messageries classique


et instantane, visioconfrence, rseaux sociaux dentreprise ces
solutions particulirement adaptes aux structures agiles sont en
gnral des solutions dj cloud ;

la collaboration externe, cest la collaboration tendue aux


partenaires et aux clients. Finis les changes par mails, les dpts de
dossiers les pices comptables peuvent tre dmatrialises,
centralises, synchronises, accessibles en temps rel et de manire

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 2 : Les apports du cloud pour le cabinet et ses clients

31

scurise. Les nouvelles plateformes de dmatrialisation permettent


dsormais de signer lectroniquement les devis, les contrats, les
bulletins de paie4 ;

en termes de ressources humaines, le cabinet peut embaucher de


nouveaux collaborateurs ou sen sparer sans consquences
oprationnelles. Il nest plus besoin d'acheter de nouveaux matriels et
de nouvelles licences logicielles, crer un compte cloud se fait
instantanment et les nouveaux collaborateurs sont immdiatement
oprationnels. A l'inverse, pas d'actifs inutiles ou dvaloriss aprs des
dparts, fermer un compte cloud est tout aussi rapide ;

linnovation : le cabinet consacre moins de temps grer son


informatique. Il peut dvelopper de nouveaux services plus
rapidement, il nest plus tributaire de prestataires informatiques ;

lexternalisation de linformatique permet de se dcharger des


problmes de scurit et de disponibilit. Les datacenters des
services cloud sont protgs contre les intrusions, les malveillances,
les incendies et les catastrophes naturelles. Lhbergeur mutualise ses
dispositifs de scurit, ce qui lui permet doffrir un niveau de qualit
quun cabinet ne pourrait atteindre sans investissements
disproportionns ;

Chaque anne, 600 000 ordinateurs portables sont perdus dans les
aroports amricains, et parmi eux 53 % contenaient des informations
confidentielles de leur entreprise5. La perte dinformations peut avoir
de graves consquences. Un risque qui nexiste pas avec le cloud
puisque les donnes sont hberges chez le fournisseur.

respect de lenvironnement : linformatique externalis dans le


cloud, c'est des machines en moins dans les locaux, moins d'espace
occup, moins de consommation lectrique, une empreinte carbone
plus rduite.

Selon une tude mene par Accenture et WSP Environment & Energy6,
le Cloud computing rduirait globalement lempreinte carbone des
entreprises. Un datacenter, mme sil consomme normment
dnergie, en consomme moins que la somme des datacenters quil

4
FrenchWeb.fr, 3 start-ups franaise pour en finir avec les contrats papiers, (http ://frenchweb.fr/3start-ups-francaises-pour-en-finir-avec-les-contrats-papiers/152488), 2014.
5

Ponemon.org, New study reveals up to 12.000 laptop computers lost weekly and up to 600.000 lost
annually in U.S Airports, (http ://www.ponemon.org/news-2/8), 2008.

6
Hup Presse Microsoft France, Microsoft.fr, Le cloud Computing rduit lempreinte carbone des
entreprises , (http ://www.microsoft.com/france/Hub-Presse/communiques-de-presse/fichecommunique.aspx ?eid=351f7348-d177-4224-a353-c6ffe98f0cbe), 2010.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

32

Collection des tudes institutionnelles

hberge virtuellement. Pour les petites structures, cela reprsente


mme une diminution de 90 % de la consommation nergtique et de
lempreinte carbone.

1.2 Lintrt financier


Outre les avantages oprationnels en termes de flexibilit, dagilit et de
scurit, le passage au cloud apporte son lot davantages conomiques :

le Cloud computing transforme les cots fixes d'investissements en


cots variables de consommation tablis en fonction des besoins du
cabinet. Cest le passage dun modle fond sur limmobilisation de
capitaux (CAPEX) un modle de cots dexploitation (OPEX) bas sur
lutilisation. Le cabinet a une meilleure prdictibilit sur les dpenses
grce l'abonnement mensuel ;

pas d'investissements de dpart. Un jeune cabinet peut dmarrer trs


rapidement son activit. Un cabinet en pleine expansion peut utiliser
sa trsorerie pour booster le dveloppement de son entreprise au lieu
de l'immobiliser dans des investissements informatiques ;

le Cloud computing est un moyen de financement, il permet le lissage


de l'investissement travers les mensualits de l'abonnement ;

la gestion des cots devient plus souple, laffectation des cots plus
claire grce la facturation l'utilisation. Dans le cas d'une baisse
d'activit conjoncturelle ou saisonnire, le cabinet peut faire des
conomies en rduisant l'utilisation d'une application ou d'un service
particulier, chose impossible dans un environnement informatique
traditionnel dans lequel les capitaux sont dj investis. A l'inverse, en
cas de pic d'activit, il peut instantanment accroitre la capacit
rpondre la demande et ainsi viter de perdre des clients et du
chiffre d'affaires.

Supprimer les cots de maintenance informatique, rduire la consommation


lectrique, viter les risques de perte de donnes, rduire les frais de formation
sont autant de postes sur lesquels le cabinet peut faire des conomies.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 2 : Les apports du cloud pour le cabinet et ses clients

33

Les nouveaux services du cloud

Le Cloud computing ouvre une nouvelle re dans lusage de linformatique


pour les entreprises et les individus. Voici quelques exemples qui montrent
ltendue du champ dapplications du Cloud computing.
Lune des applications les plus anciennes de lInternet est la messagerie.
Ds lorigine, elle prfigure ce que seront les applications cloud :
accessibles en ligne, depuis nimporte quelle machine. Le client de
messagerie accessible via un navigateur, le webmail, est sans doute une de
toutes premires applications typiquement cloud. Lanc en 2004, Gmail
est aujourdhui le webmail le plus utilis au monde.
Le cloud, cest aussi du stockage en ligne : Dropbox, OneDrive
(anciennement SkyDrive), Google Drive, iCloud sont parmi les services les
plus populaires au niveau mondial. Un bilan valider chez soi, une lettre
de mission rdiger en vacances plus besoin de transporter des cls USB.
Ces services permettent de retrouver ses fichiers sur le web, partir de
nimporte quelle machine.
Longtemps rest lapanage des stations de travail PC et Mac, les suites
bureautiques telles que Microsoft Office ont fait les beaux jours de
lindustrie du logiciel. Larrive de Google a encore une fois chang la
donne en proposant Google Docs, une suite gratuite dans le cloud.
Microsoft a d suivre et propose aujourdhui ses applications dans le
nuage. Avec Office 365, lditeur tend son offre de bureautique pour les
entreprises et propose une messagerie, un service de webconfrence et
une plateforme de collaboration, le tout en mode SaaS.
Avec lavnement du Web 2.0, le web participatif est reprsentatif dune
nouvelle gnration dapplications : wikis, rseaux sociaux, solutions
collaboratives.

Les applications emblmatiques sappellent Facebook, Twitter,


Flickr et sont toutes nativement cloud.

Dsormais, les applications, mme professionnelles, se doivent davoir une


composante sociale ou collaborative.

Pour les entreprises, le SaaS est dsormais un grand pourvoyeur de


solutions
hberges,
avec
Salesforce.com
comme
fournisseur
emblmatique : paie, notes de frais, ressources humaines, gestion de la
relation client

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

34

Collection des tudes institutionnelles

Le cloud et les clients du cabinet

Les solutions de comptabilit, gestion et finances nchappent pas la


rgle, et la plupart des diteurs ont ou vont migrer leurs offres dans le
nuage.
De nouveaux fournisseurs ont vu le jour, surfant sur la vague cloud et
proposent, pour quelques dizaines deuros par mois, de prendre en charge
la comptabilit des petites structures et des professions librales. Le
service se prsente comme un site web, facile utiliser et aucune
installation nest requise.
Attention cependant, bon nombre de ces sites ne sont que des services en ligne et
ne proposent pas les garanties de scurit et de disponibilit des services cloud.

Dans les pages suivantes, sont prsentes les bonnes questions poser aux
fournisseurs.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

La mise en place
du cloud
au sein du cabinet

Partie 3 : La mise en place du cloud au sein du cabinet

37

Les bonnes questions du cloud

Nous avons vu dans le chapitre prcdent les nombreux avantages du


cloud, largement promus par les fournisseurs et relays par la presse. Une
fois les discours marketing digrs, il est temps de se poser les bonnes
questions, celles qui fchent.
Quon les appelle des inconvnients, des risques, des dfis ou des points de
vigilance, ces questions sont souvent les mmes : quen est-il de la
scurit, de la confidentialit, de la rglementation, etc. ?
Les applications cloud prsentent dinnombrables avantages : simples
mettre en uvre, souples et conomiques lusage. Mais quen est-il des
donnes ? Nous lavons vu, dans certains clouds, il est impossible de savoir
o sont stockes physiquement les donnes. Et pour certaines professions
comme les experts comptables qui manipulent des donnes confidentielles
et critiques pour les entreprises, cette ide mme est inconcevable.
Voici donc les questions se poser avant de souscrire une offre cloud :

quels sont les traitements et les donnes susceptibles de migrer vers le


cloud ?

quels sont les risques matriser ?


non matrise des traitements, des normes, des technologies et de
la chane de sous-traitance mises en uvre par le fournisseur ;
interoprabilit : difficult dintgration avec lexistant ou avec
des standards ;
rversibilit : dpendance technologique vis--vis du fournisseur ;
disponibilit : non matrise du systme dinformation, manque de
visibilit sur les dysfonctionnements ;
intgrit : perte ou destruction des donnes, altration des
donnes par erreur ou malveillance ;
confidentialit : intrusion, usurpation didentit, fuite de donnes,
non tanchit entre les utilisateurs ;
souverainet : non matrise de la localisation des donnes ;
lgislation : non-conformit rglementaire ;
incapacit pour le client rpondre en temps et en heure aux
requtes judiciaires ;
perte de confidentialit et/ou de disponibilit des donnes pour le
cabinet suite des rquisitions judiciaires imposes au
fournisseur ;
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

38

Collection des tudes institutionnelles

destruction ineffective ou non scurise des donnes ;


dure de conservation au-del des dlais lgaux de conservation ;
sauvegarde ineffective ;
incapacit du fournisseur adapter lapplication en cas dvolution
des besoins fonctionnels du cabinet ;
faille dans la chane de sous-traitance impactant le niveau de
service ;
indisponibilit du service du fournisseur ;
difficult tester et mettre en uvre un Plan de Continuit
dActivit mtier (PCA) cohrent avec Plan de Reprise d'Activit
(PRA) du fournisseur ;
cessation dactivit du fournisseur ou acquisition du fournisseur par
un tiers impactant la continuit de service.

quel cloud pour quel usage ?


priv, public ?
interne, externe ?

comment choisir un fournisseur ?

quel impact sur la politique de scurit interne ?


utilisation de plateformes cloud alternatives par les employs
(clouds publics, stockage en ligne) ;
utilisation incorrecte des donnes par les collaborateurs ;
niveau de scurit insuffisant des mots de passe.

Si les recommandations pour les entreprises qui envisagent de souscrire


des services de Cloud computing mises par la CNIL peuvent servir de
support gnral la dmarche7, nous prsentons ci-aprs les questions
spcifiques la profession comptable quil faut poser un futur
fournisseur de services cloud et les rponses obtenir avant tout
engagement. .
Ces rponses sont prsentes sous deux niveaux :

un premier niveau qualifi de Conformit cloud , qui correspond au


minimum acceptable pour la profession et sur lequel un fournisseur
doit sengager imprativement. Ce premier niveau correspond aux
recommandations Conformit cloud 2014 et 2015 du Conseil

7
http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_
qui_envisagent_de_souscrire_a_des_services_de_ cloud.pdf

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

39

suprieur de l'ordre des experts-comptables, reproduites en intgralit


en annexe du prsent guide ;

le cas chant, un second niveau qualifi Excellence cloud


indiquant les plus en termes dexigence, de qualit ou davantage
commercial, et sur lesquels un fournisseur pourra faire la diffrence.

Indpendance

Ce chapitre regroupe toutes les questions lies la libert, lautonomie et


lindpendance du cabinet vis--vis du fournisseur de cloud :

rversibilit : quelle garantie de pouvoir rcuprer ses donnes en fin


de contrat ?

interoprabilit : les donnes sont-elles interoprables avec lexistant,


avec dautres services cloud ?

accessibilit : les donnes sont-elles accessibles par le cabinet, par les


clients du cabinet ?

proprit : qui est le propritaire des donnes, qui est factur ?

2.1 Rversibilit
Cest sans doute la premire question se poser : avant mme de rentrer
dans le cloud dun fournisseur, pourra-t-on en sortir ? Il est indispensable
ds le dbut du contrat den prvoir sa fin, et tout particulirement
davoir la certitude quil sera possible, en fin de contrat ou cas de rupture
du contrat, de rcuprer ses donnes.
Une clause de rversibilit doit permettre de prvoir la capacit du
fournisseur restituer les contenus, mais galement les lments de
traabilit associs aux contenus (journalisation des archives).
La rversibilit sur le cloud est la capacit qua un fournisseur de restituer
leurs propritaires les donnes numriques qui lui ont t confies en en
garantissant la valeur et lintgrit.
Il sagit pour le fournisseur de respecter une correspondance entre ce qui a
t vers et ce qui doit tre restitu, quels que soient les vnements qui
auraient pu avoir lieu dans lintervalle de temps entre le versement et la
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

40

Collection des tudes institutionnelles

restitution. En cas de destruction par exemple, le fournisseur doit pouvoir


expliquer pourquoi les donnes restitues ne sont pas identiques aux
donnes initiales. Dans tous les cas, ces vnements doivent tre tracs,
et le prestataire doit pouvoir fournir des journaux de traabilit.
Le fournisseur doit donc contractuellement offrir, dans la clause de
rversibilit, un certain nombre de prestations techniques et
fonctionnelles quil sengage garantir pendant toute la dure de la
prestation.
Il arrive parfois que les phases de rupture de contrat soient dlicates. Pour
viter toute difficult, il est possible de prvoir contractuellement un plan
de rversibilit ds la mise en place du contrat. Ce plan prvoira
notamment les facteurs dclencheurs de cette rversibilit (carence du
prestataire, libre choix du client chance du contrat aprs un certain
nombre dannes), les conditions de cette rversibilit (simple
discontinuit du service, arrt total du service) et le cot de celle-ci
pour le cabinet. La mise en uvre de la rversibilit devra inclure la
suppression des donnes par le prestataire sur ses moyens propres.
Il faut cependant distinguer le mode IaaS et SaaS. En mode IaaS, le
fournisseur doit garantir une disponibilit daccs technique pour que le
client puisse lui-mme rcuprer ses contenus. Il ne sagit pas alors de
rversion incombant au fournisseur, au sens strict. En mode SaaS, le
fournisseur est responsable des donnes et doit tre capable de mener des
oprations de rversion compltes et scurises.

2.1.1 Questions - rponses sur la rversibilit


2.1.1.1 Quel est le format dexportation des donnes
reverses par le prestataire ?

Conformit cloud :
Le fournisseur de services cloud exporte toutes les donnes,
documents et fichiers de lexpert en format libre ASCII ou selon des
standards du march.

Recommandation n 1.1.1
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud exporte toutes les donnes et
documents dun dossier au format ADN Compta.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

41

Partie 3 : La mise en place du cloud au sein du cabinet

2.1.1.2 Quel est le dlai de rcupration des donnes ?

Conformit cloud :
Le fournisseur de services cloud
immdiate dossier par dossier.

permettre

une

rcupration

Recommandation n 1.1.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud permet une rcupration globale de
tous les dossiers du cabinet ventuellement avec un dlai de sept
jours.
2.1.1.3 Quel est le cot de la rcupration
des donnes ?

Conformit cloud :
Le fournisseur de services cloud ne facture pas de supplment pour la
rcupration dossier par dossier.

Recommandation n 1.1.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud permet une rcupration globale par
tlchargement de tous les dossiers du cabinet sans supplment de
prix.
2.1.1.4 Lditeur propose-t-il un retour en mode local ?

Conformit cloud :
Le fournisseur de services cloud proposant les deux modes
dexploitation de sa solution (local et cloud) permet le retour en mode
local, pendant les 3 mois suivant une souscription loffre cloud.

Recommandation n 1.1.4
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud proposant les deux modes
dexploitation de sa solution (local et cloud) permet le retour au mode
local tout moment.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

42

Collection des tudes institutionnelles

2.1.1.5 Quelle est la dure de conservation des


donnes par le prestataire aprs la fin
du contrat ?

Conformit cloud :
Le fournisseur de services cloud informe clairement, ds la signature
du contrat, de la dure de conservation des donnes aprs la fin de
celui-ci.

Recommandation n 1.1.5
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud fournit un service automatique
darchivage dans un format standard des donnes vers un tiers de
confiance.
2.1.1.6 Existe-t-il un service cloud permettant de rexploiter les donnes aprs la fin du contrat ?

Conformit cloud :
Le fournisseur de services cloud informe obligatoirement et clairement
ds la signature du contrat sur les services permettant de r-exploiter
les donnes aprs la fin du contrat (notamment en cas de contrle
fiscal).

Recommandation n 1.1.6
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud fournit un service, avec les donnes
sous contrle du cabinet, permettant de r-exploiter les donnes aprs
la fin du contrat (notamment en cas de contrle fiscal).

2.2 Interoprabilit
Le cabinet peut tre amen exploiter des solutions cloud ou logicielles
dorigine diffrentes pour la comptabilit, la bureautique, etc.
Linteroprabilit des solutions est un point essentiel pour le bnfice de
lexprience utilisateur. Elle garantit que les donnes de comptabilit des
clients du systme existant seront bien migres dans la solution cloud, que
les donnes de la solution cloud seront utilisables avec dautres solutions
cloud, avec des logiciels en local, etc.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

43

2.2.1 Questions - rponses sur linteroprabilit


2.2.1.1 Existe-t-il des services logiciels (web services)
ou des connecteurs avec dautres diteurs ?

Conformit cloud :
Le fournisseur de services cloud propose des web services ou
connecteurs entrants ou sortants avec dautres solutions diteurs, ou
la possibilit dimporter et dexporter les donnes principales et cls
de toutes les applications (avec information pralable sur les donnes
concernes).

Recommandation n 1.2.1
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud fournit des API permettant
limport/export automatique des donnes (avec information pralable
des donnes concernes).
2.2.1.2 Les donnes sont-elles utilisables avec tous les
logiciels bureautiques ?

Conformit cloud :
Le fournisseur de services cloud informe sur la politique de licences et
de gestion de la compatibilit des versions de loffre avec les
diffrents logiciels bureautiques.

Recommandation n 1.2.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud fournit des web services ou dautres
solutions techniques permettant le traitement des donnes par toute
solution bureautique souhaite par lexpert-comptable.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

44

Collection des tudes institutionnelles

2.2.1.3 La solution autorise-t-elle lauthentification


unique (SSO) ?

Conformit cloud :
Le fournisseur de services cloud met en uvre un SSO (single sign
on) permettant une navigation sans rauthentification entre les
applications dun mme diteur et intgre les nouvelles offres
dveloppes ou acquises dans ce dispositif.

Recommandation n 1.2.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud propose un SSO entre diteurs
diffrents (compatibles avec des solutions standards didentification
type OAUTH, SAML 2).

2.3 Dure et nature de lengagement


Le choix dune solution cloud pour son systme dinformation porte les
mmes engagements en termes de formation des collaborateurs, ingnierie
de migration et organisation interne quune solution en mode local. Il offre
cependant de nouvelles perspectives dusages ponctuels ou dynamiques
selon la croissance ou dcroissance du cabinet et la nature des clients. Ces
lments doivent tre pris en compte dans la dure et la nature des
engagements.

2.3.1 Questions -rponses sur lengagement


2.3.1.1 Quelle est la dure minimale dengagement ?

Conformit cloud :
Le fournisseur de services cloud nimpose pas une dure dabonnement
de plus de 36 mois.

Recommandation n 1.3.1
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

45

Excellence cloud :
Le fournisseur de services cloud nimpose pas une dure dabonnement
de plus de 24 mois et propose des tarifs diffrencis selon les dures
dengagement.
2.3.1.2 Le contrat est-il adaptable en nombre et en
dure de services et doptions la hausse et
la baisse ?

Conformit cloud :
Le fournisseur de services cloud adapte les dispositions contractuelles
(options destination des clients, notamment) relatives la dure et
au nombre de licences.

Recommandation n 1.3.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud propose une tarification totalement
adapte la consommation relle de ressources et aux nombre
dusagers.
2.3.1.3 Quelle est la dure de la reconduction tacite ?

Conformit cloud :
Le fournisseur de services cloud limite la dure de la tacite
reconduction 12 mois.

Recommandation n 1.3.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud propose un rengagement de 6 mois et
la possibilit sans engagement avec application dun tarif diffrenci.
2.3.1.4 Quel est le dlai de pravis ?

Conformit cloud :
Le fournisseur de services cloud respecte un pravis de 6 mois pour
dnoncer le contrat.

Recommandation n 1.3.4
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

46

Collection des tudes institutionnelles

Excellence cloud :
Le contrat prvoit un pravis de 3 mois pour lexpert-comptable et 9
mois pour le fournisseur de services cloud.

2.4 ATAWAD
Un des atouts du cloud rside dans louverture dans le temps, lespace et
les moyens : les applications et les donnes sont accessibles nimporte
quel moment, de nimporte o et partir de nimporte quel appareil. Ce
que traduit lacronyme ATAWAD (AnyTime, AnyWhere, AnyDevice).

2.4.1 Ouverture dans le temps (Anytime)


Il parat inconcevable aujourdhui quun site web ne soit ouvert quaux
heures de bureau. Lutilisateur doit donc pouvoir accder au service
toute heure. Mais derrire ce besoin trivial se cache un enjeu
considrable, celui de la haute disponibilit, un point que nous dtaillons
dans la partie Disponibilit.

2.4.2 Ouverture sur Internet (Anywhere)


Accder aux donnes depuis nimporte o fait partie de la philosophie du
cloud. Ceci est rendu possible lutilisation des standards ouverts du Web.
Hormis le cas particulier du cloud interne et priv, qui sapparente un
intranet, les services du cloud sont accessibles sur Internet travers un
simple navigateur Web. Ce navigateur se doit idalement dtre au
standard actuel (HTML5) et ne pas ncessiter linstallation dextensions ou
de plugins supplmentaires (Flash, Silverlight) pour exploiter le service
cloud. Si vous naviguer encore avec IE6 (Internet Explorer 6) sous Windows
XP, vous risquez certaines dconvenues.

2.4.3 Ouverture aux terminaux (Any device)


Lutilisation dun simple navigateur Web a un autre corollaire : nimporte
quel terminal disposant dun navigateur Web standard peut accder au
cloud, et ce quel que soit son systme dexploitation. Ce qui inclut les
ordinateurs personnels, les tablettes et les smartphones.
Il faudra cependant distinguer accessibilit et utilisabilit.
Pour tre utilisables par des tablettes, le service devra avoir t conu
pour des interactions tactiles : menus et boutons suffisamment espacs et
gros, dfilement au doigt
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

47

Dans le cas des smartphones, le frein reste la taille de lcran. Pour tre
utilisable, le service devra avoir t conu pour rorganiser la disposition
des crans afin quils soient lisibles et manipulable tactilement sur un
smartphone. Techniquement, il faudra que lapplication ait t conue en
Responsive Design (design qui sadapte automatiquement la taille de
lcran).

2.4.4 Questions -rponses sur lATAWAD


2.4.4.1 Quels sont les horaires douverture du service ?

Conformit cloud :
Le fournisseur de services cloud informe par avance des priodes
dindisponibilit programmes pour maintenance technique.

Recommandation n 1.4.4
du Conseil suprieur de l'ordre des experts-comptables.

2.4.4.2 Depuis quels territoires le service est-il


accessible ?

Conformit cloud :
Le service cloud est accessible partir de tous les territoires connects
Internet partir dun simple navigateur WEB.

Recommandation n 1.4.1
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le service cloud est accessible avec des connexions basse vitesse ou
en conditions difficiles.
2.4.4.3 Quels sont les terminaux supports par le
service ?

Conformit cloud :
Tout terminal disposant dun navigateur Web standard HTML5 permet
daccder au service (ordinateur, tablette, smartphone).

Recommandation n 1.4.1
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le service cloud est conu pour une utilisation tactile (tablettes iOS et
Android) et pour laffichage en responsive design sur nimporte quelle
taille dcran (ordinateurs, tablettes et smartphones).
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

48

Collection des tudes institutionnelles

2.5 Accessibilit des donnes par le cabinet


Pour le cabinet, la solution cloud doit tre en mesure de pouvoir
sauvegarder et restaurer les dossiers clients la demande, davoir accs
aux sauvegardes du fournisseur ainsi quaux journaux des sauvegardes.
Dune manire gnrale, la traabilit est devenue un enjeu industriel et
commercial important quelle que soit lactivit. Elle rpond des
exigences de rglementation et permet de suivre lactivit dun
fournisseur.
Concernant larchivage de donnes numriques, la traabilit vise
assurer le suivi de toutes les oprations effectues, en accompagnant le
droulement du cycle de vie de la donne : sa prise de valeur (signature,
horodatage), son versement, les oprations de conversion de formats, les
oprations de communication, dlimination/destruction, etc.
La traabilit doit avoir un caractre systmatique et contribuer
enregistrer tous les vnements qui ont pu affecter le fonctionnement du
systme ou les donnes. Pour un archivage dans le cloud, il conviendra de
prendre en compte contractuellement les lments suivants :

ce qui atteste du dpt du document (date, heure, auteur) ;

trace dune activit de conversion : partir de quel format, vers quel


format, quantit de donnes ou de documents impacts, dure de
lopration, relev des incidents ventuels au cours de la conversion

on peut se demander de quelle traabilit relve les changements que


le fournisseur de service opre sur les donnes dans le cadre de sa
politique doptimisation des serveurs (par exemple : utilise-t-il des
algorithmes de compression de donnes ?)

traces des oprations de communication : qui, pour qui, date et


heure ;

traces des oprations de destruction : qui, pour qui, avec quelles


mthodes, date et heure, relevs de destruction ;

sous quelle forme le fournisseur de service assure-t-il la traabilit ?


O est loutil de journalisation : IaaS, Saas ? Quest-ce qui est
restitu ? Quest-ce qui est consultable, par qui, quel moment ?

comment assurer
larchive) ?

lhistorique

de

la

traabilit

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

(larchive

de

Partie 3 : La mise en place du cloud au sein du cabinet

49

La traabilit sexprime par la journalisation et produit un document, le


journal des vnements. Ce journal est un document vocation probatoire
en cas de litige.

2.5.1 Questions - rponses sur laccessibilit des


donnes par le cabinet
2.5.1.1 La sauvegarde de dossiers la demande est-elle
possible ?

Conformit cloud :
Le service cloud permet au cabinet de mmoriser ponctuellement un
dossier et le restaurer ultrieurement.

Recommandation n 1.4.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
La sauvegarde est possible pour lensemble des dossiers et restauration
ponctuelle.
2.5.1.2 Les sauvegardes du prestataire et leur
historique sont-ils accessibles ?

Conformit cloud :
Le fournisseur de services cloud donne laccs aux sauvegardes et
leur historique en prcisant les modalits pratiques et juridiques
(dossier par dossier, globalement, priode de consultation) dans le
contrat.

Recommandation n 1.4.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud ajoute une historisation des
sauvegardes et le paramtrage de cet historique.
2.5.1.3 Quinclut la traabilit ?

Conformit cloud :
Le fournisseur de services cloud conserve une traabilit de la dernire
modification ralise et des accs de chacun des collaborateurs.

Recommandation n 1.4.5
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

50

Collection des tudes institutionnelles

Excellence cloud :
Le fournisseur de services cloud historise les diffrentes modifications
ralises par collaborateur.

2.6 Accessibilit des donnes par les clients du


cabinet
Le cloud est la base de processus collaboratifs ou dinformation entre le
cabinet et ses clients. Pour les clients du cabinet, la solution cloud doit
leur permettre de saisir eux-mmes des donnes comptables, de les
modifier et de consulter les tats et les tableaux de bord travers une
interface ddie.
Dans le cadre du secret professionnel, le fournisseur doit garantir la
confidentialit des donnes clients, cest--dire que les donnes ne seront
consultes ou exploites par personne dautre que le cabinet et le client.
Le cabinet doit pouvoir avoir un contrle total sur la gestion des accs et
des donnes de ses clients. Notamment, il doit pouvoir grer les droits
daccs multicanaux et la rvocation dun accs linitiative du client,
dans la limite des droits octroys par le cabinet. Il doit pouvoir dfinir les
priodes de consultation par le client, et verrouiller au besoin la saisie. Il
doit enfin pouvoir accder la traabilit des accs et des enregistrements
des donnes.

2.6.1 Questions - rponses sur laccessibilit des


donnes par les clients du cabinet
2.6.1.1 Quelles garanties sont apportes sur le secret
professionnel ?

Conformit cloud :
Le fournisseur de services cloud sinterdit la consultation ou
lexploitation directe ou indirecte des donnes des clients du cabinet
dans un strict respect du secret professionnel.

Cette interdiction sapplique aux employs du fournisseur ainsi qu ses soustraitants.

Recommandation n 1.5.1
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

51

Partie 3 : La mise en place du cloud au sein du cabinet

2.6.1.2 Le cabinet peut-il grer laccs au service pour


ses clients ?

Conformit cloud :
Le fournisseur de services cloud tient compte du fait que le cabinet
doit pouvoir proposer son client des accs distincts des droits du
cabinet avec des droits diffrencis pour les utilisateurs du client.

Recommandation n 1.5.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud propose une gestion de groupes et de
droits fins par donnes.

Conformit cloud :
Le fournisseur de services cloud permet la gestion par le cabinet des
priodes consultables par le client.

Recommandation n 1.5.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud diffrencie
modification/consultation par priode et utilisateur.

les

droits

de

Conformit cloud :
Le fournisseur de services cloud proposer un ATAWAD en consultation.

Recommandation n 1.5.4
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :

Le fournisseur de services cloud proposer un ATAWAD en consultation


et en modification.
2.6.1.3 Le client du cabinet a-t-il accs la base de
donnes du cabinet ou une base ddie ?

Conformit cloud :
Le fournisseur de services cloud fournit une information claire sur la
structure des donnes et la frquence de mise jour.

Recommandation n 1.5.5
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

52

Collection des tudes institutionnelles

Excellence cloud :
Le fournisseur de services cloud garantit un partage sans dlai des
informations entre le cabinet et le client.
2.6.1.4 La traabilit des accs et des donnes clients
est-elle assure ?

Conformit cloud :
Le fournisseur de services cloud conserve la traabilit des accs des
clients et de leur dernire modification ralise.

Recommandation n 1.5.6
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud historise les modifications des
donnes.

Conformit cloud :
Le service cloud permet le verrouillage de la saisie par le client.

Recommandation n 1.5.7
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le service cloud permet un paramtrage par collaborateur, nature de
donnes, priode verrouiller.
2.6.1.5 Qui assure le support technique aux
utilisateurs ?

Conformit cloud :
Le fournisseur de services cloud fournit un support technique aux
utilisateurs.

Recommandation n 1.5.8
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud propose un support direct diteur, un
support cabinet ou un support mixte.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

53

2.6.1.6 Les clients du cabinet disposent-ils dune


interface spcifique pour la saisie et la
consultation ?

Conformit cloud :
Le fournisseur de services cloud propose une interface spcifique pour
le client en saisie et en restitution (tableaux de bord).

Recommandation n 1.5.9
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud publie des informations vers les
clients.

2.7 Proprit des donnes


Les enjeux de proprit des donnes sont plus prgnants dans les solutions
cloud et sont abords avec attention.
Concernant la facturation du service, celle-ci est a minima charge au
cabinet. Le fournisseur sengage ne pas facturer directement et
exclusivement le client du cabinet pour ses options.
La proprit des donnes est dvolue au cabinet, ce point doit tre inscrit
dans le contrat.
Le fournisseur sengage de manire contractuelle sur la non-diffusion et la
non-exploitation des donnes. Sur ce point, on se reportera aux clauses de
respect du secret professionnel et de la confidentialit des donnes.

Recommandation n 1.6.1
du Conseil suprieur de l'ordre des experts-comptables.

2.7.1 Questions -rponses sur la proprit des donnes


2.7.1.1 Qui est factur ? Le cabinet ou le client ?

Conformit cloud :
Le fournisseur de services cloud ne facture pas directement le client
du cabinet pour ses options, sans laccord de lexpert-comptable.

Recommandation n 1.6.2
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

54

Collection des tudes institutionnelles

Excellence cloud :
Le fournisseur de services cloud permet au cabinet de choisir, dossier
par dossier, qui est factur du client ou du cabinet.
2.7.1.2 Qui est propritaire des donnes ?

Conformit cloud :
Le fournisseur de services cloud inscrit au contrat que la proprit des
donnes est dvolue au cabinet.

Recommandation n 1.6.3
du Conseil suprieur de l'ordre des experts-comptables.

Le fournisseur de services cloud ne diffuse ni nexploite les donnes


des clients du cabinet.

Recommandation n 1.6.4
du Conseil suprieur de l'ordre des experts-comptables.

Scurit

Lorsque lon voque le passage vers le cloud, la plus grande inquitude qui
sexprime concerne la scurit en gnral. Cette scurit reste dailleurs
le principal frein ladoption du cloud, comme le confirme les indicateurs
du Cloudindex8.
La scurit dans le cloud comprend quatre aspects principaux : la
confidentialit des donnes, la disponibilit des donnes, la sauvegarde
des donnes, et la scurit daccs au service.

3.1 Confidentialit des donnes


Avant dexternaliser ses donnes dans le cloud, il convient de sassurer que
ces donnes ne seront pas accdes, exploites, modifies ou dtruites par
des tiers : personnel non autoris, pirates informatiques, services de
renseignements trangers
La confidentialit des donnes vis--vis du fournisseur a dj t traite
dans la partie 2.6 Accessibilit des donnes par les clients du cabinet
8 CloudIndex.fr http ://www.cloudindex.fr/content/tous-les-r %C3 %A9sultats

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

55

La confidentialit des donnes vis--vis des tats reste un sujet plus


complexe adresser puisquil met en jeu des contraintes lgales. Cest un
point que nous dtaillerons dans la partie 4.1 Souverainet des
donnes .
La confidentialit des donnes vis--vis des utilisateurs indiscrets et des
pirates informatiques adresse les problmatiques de chiffrement des
connexions et des donnes. Le fournisseur doit tre en mesure de proposer
un tunnel scuris entre le client et les serveurs avec un chiffrement de
128 bits au minimum. Il doit tre aussi en mesure de proposer un
chiffrement des donnes et/ou une protection de type coffre-fort
numrique.
Le chiffrement (appel parfois improprement cryptage) peut paratre
premire vue la solution la plus sre pour protger les donnes. Cela est
peut-tre vrai sur le court terme mais se rvle une contrainte trs forte
pour larchivage. La gestion des clefs et la dure de vie des algorithmes
utiliss pour le chiffrement constituent des freins majeurs quand la donne
a vocation tre prserve lidentique sur le long terme.
Il existe bien des domaines o le chiffrement des contenus est obligatoire
comme les donnes de sant. Dans ces cas, le fournisseur propose des
prestations complmentaires pour la gestion des clefs : coffre-fort
numrique, utilisation de HSM (Hardware Security Module, module
matriel de scurit comme une carte lectronique). Mais il existera
toujours une clef matre dont la prennit et la scurisation sera la
charge exclusive du client.
Outre les contraintes nonces ci-dessus, il faudra compter sur des dlais
supplmentaires gnrs par le traitement des donnes chiffres. Au final,
on pourra privilgier une approche de protection de la donne dans un
coffre-fort numrique, plutt que la dissimulation de cette dernire.

3.1.1 Questions -rponses sur la confidentialit des


donnes
3.1.1.1 Le service dispose-t-il dune connexion
scurise ?

Conformit cloud :
Le fournisseur de services cloud utilise un tunnel scuris entre le
client et les serveurs du prestataire avec un cryptage 128 bits au
minimum.

Recommandation n 2.1.1
du Conseil suprieur de l'ordre des experts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

56

Collection des tudes institutionnelles

Excellence cloud :
Le cryptage est renforc avec des longueurs de 256 ou dautres
technologies plus dures.
3.1.1.2 Les donnes sont-elles chiffres sur les
serveurs du prestataire ?

Ce point nest pas aujourdhui une recommandation car il est lobjet dun
dbat entre la confidentialit des donnes, leurs disponibilits et la
performance des systmes. Lvolution des technologies permettra une
volution de nos recommandations dans une prochaine dition.

Si un chiffrage est mis en uvre. Les donnes sont chiffres avec une cl
dtenue par le cabinet. Un systme de gestion des clefs est disponible
(coffre-fort numrique, module matriel de scurit HSM).

3.2 Disponibilit des donnes


3.2.1 Taux de disponibilit et rsilience
Vouloir accder ses donnes tout moment est un besoin lgitime. Mais
derrire ce besoin trivial se cache un enjeu considrable, celui de la haute
disponibilit. Car au-del de la prise rseau qui vous relie Internet, il y a
un datacenter maintenir en tat de marche cote que cote.
Le fait de pouvoir accder au cloud tout moment est li la
disponibilit de linfrastructure, cest--dire la facult qua un datacenter
assurer une continuit de service mme en cas de panne. Cette facult
est aussi appele la rsilience.
La rsilience est le rsultat de nombreux dispositifs mis en uvre par
loprateur de cloud : prvention des pannes par redondance des
matriels, par un ou plusieurs circuits lectriques pour lnergie et pour la
distribution du refroidissement, scurisation physique des sites contre les
catastrophes naturelles, les incendies, les intrusions
La rsilience ncessitent des investissements importants et un contrle
permanent qui se traduisent au final par un taux de disponibilit, appel
aussi niveau de disponibilit. Plus la dure dindisponibilit est courte,
plus ce taux se rapproche de 100 %, et plus le service sera hautement
disponible.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

57

Partie 3 : La mise en place du cloud au sein du cabinet

Taux de
disponibilit

Indisponibilit /
jour

Indisponibilit /
mois

Indisponibilit /
an

99 %

00 :14 :23

07 :18 :17

87 :39 :29

99,9 %

00 :01 :26

00 :43 :49

08 :45 :56

99,99 %

00 :00 :08

00 :04 :22

00 :52 :35

99,999 %

00 :00 :00.4

00 :00 :26

00 :05 :15

Correspondance entre taux de disponibilit et dure dindisponibilit (heures : minutes : secondes)

En gnral, les prestataires cloud sengagent sur un taux de disponibilit


de 99,9 % ce qui correspond environ une dure dinterruption de 44
minutes par mois, soit 9 heures par an.
Dans le march de lIaaS o la disponibilit est critique, lUptime Institute9
a dfini une classification des datacenters exprime en Tier en fonction
des taux de disponibilit10 :
Tier

Disponibilit

Indisponibilit / an

Tier I

99,671 %

29 heures

Tier II

99,741 %

22 heures

Tier III

99,982 %

94 minutes

Tier IV

99,995 %

26 minutes

Classification des datacenters selon lUptime Institute

Dans le domaine du SaaS, certains fournisseurs se contenteront de vous


annoncer une disponibilit de 24h/24 7j/7, ce qui est videmment une
promesse insuffisante. A noter que les diteurs SaaS sadossent en gnral
des partenaires IaaS (Amazon, Microsoft), linformation de disponibilit
devrait tre disponible et fournie.
Si le taux de disponibilit est un facteur critique pour certaines professions
qui manipulent des donnes temps rel (cours financiers, trafic arien,
surveillance mdicale), il faut relativiser ce critre pour la profession
comptable. Pour autant il peut tre important pour le cabinet, notamment
en priode de bilan. La trs haute disponibilit a un cot, et il faudra
positionner le curseur entre un besoin fort de disponibilit et un cot
raisonnable. Le cabinet comptable pourra se contenter dune disponibilit

http ://www.uptimeinstitute.org
http ://gridatacenter.org/la-classification-en-tiers-des-datacenter/

10

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

58

Collection des tudes institutionnelles

de 99 %. Bien plus que le taux de disponibilit cest lengagement de


continuit aprs un incident qui est essentiel pour un Cabinet (PRA & PCA).

3.2.2 Le SLA (Service Level Agreement)


Pour sassurer que le taux de disponibilit annonc sera respect, le client
aura tout intrt inscrire le contrat de niveau de service (SLA, Service
Level Agreement) dans le contrat de prestation.
Le prestataire doit assurer 3 principaux indicateurs :

le niveau de disponibilit du rseau : le prestataire doit prvenir la


rupture ou la saturation du rseau suite la dfaillance d'un des
lments de l'infrastructure rseau. De son ct, le client doit luimme surveiller la disponibilit de sa propre connectivit Internet ou
au rseau priv le reliant au prestataire ;

le niveau de disponibilit des applications ;

le niveau de disponibilit des donnes : celui-ci varie en fonction des


services et des options retenues par le client (sauvegardes ponctuelles,
sauvegardes priodiques, journaux, coffre-fort, etc.).

Vous devrez examiner le contrat de niveau de service et les performances


historiques de votre prestataire trs attentivement avant d'externaliser des
applications cruciales vers le cloud, notamment vers le cloud public.

Des outils, tels qu'Outage Analyzer11 et Is It Down Right Now ?12, permettent
de surveiller en continu les interruptions de service dans le cloud.

3.2.3 Le PRA et le PCA


En tant que prestataire de services de nature informatique, un fournisseur
cloud se doit de prvoir un plan de scurisation deux niveaux :

le Plan de Reprise d'Activit (PRA) qui permet un redmarrage froid


de l'activit aprs un sinistre, avec restauration du systme de
stockage et darchivage.

le Plan de Continuit d'Activit (PCA) qui permet une reprise chaud


par une redondance de l'infrastructure sur un ou plusieurs sites distants

11
12

OutageAnalyzer.com, http ://www.outageanalyzer.com/


IsItDownRightNow.com, http ://www.isitdownrightnow.com/

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

59

avec une rplication en temps rel des donnes (haute disponibilit sur
un ou plusieurs sites).
Le PRA et le PCA ont pour objectif de minimiser les pertes de donnes et
d'accrotre la ractivit du fournisseur en cas de sinistre majeur. Fort
heureusement, grce au cloud, le PRA et le PCA sont du ressort du
fournisseur cloud. Le fournisseur devrait pouvoir garantir dans son PRA une
dure maximale dindisponibilit avant la reprise dactivit.
Le PCA doit quasiment tre transparent pour les utilisateurs, et doit
garantir l'intgrit des donnes sans perte d'information.

3.2.4 Clause pnale


Des pnalits peuvent tre appliques au fournisseur en cas de
dpassement du taux dindisponibilit ou de la dure dindisponibilit
prvus au contrat.

3.2.5 Questions -rponses sur la disponibilit des


donnes
3.2.5.1 Existe-t-il un Contrat de niveau de service (SLA,
Service Level Agreement) ?

Conformit cloud :
Un contrat de niveau de service est intgr dans le contrat de
prestation ou joint en annexe du contrat
3.2.5.2 Le datacenter hbergeant le cloud est-il
certifi ou conforme un rfrentiel de
scurit des datacenters ?

Conformit cloud :
Le fournisseur de services cloud propose des data center scuriss par
certification ISO 27001 ou par une dclaration de conformit un
rfrentiel reconnu de scurit des data center.

Recommandation n 2.3.1
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

60

Collection des tudes institutionnelles

3.2.5.3 Quel est le taux de disponibilit du rseau, des


applications, des donnes ?

Conformit cloud :
Le fournisseur de services cloud communique le taux minimum annuel
de disponibilit du service.

Recommandation n 2.2.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Un taux de disponibilit de 99,8 % est garanti.
3.2.5.4 Quelle est la dure maximale dindisponibilit
du service prvue dans le PRA (ventuellement
sur un primtre fonctionnel rduit) aprs un
incident ?

Conformit cloud :
Le fournisseur de services cloud limite 4 heures maximum, aprs un
incident, le plan de reprise dactivit, ventuellement sur un
primtre fonctionnel rduit.

Recommandation n 2.2.2
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
La dure maximale dindisponibilit est limite 1 heure.
3.2.5.5 Quelle est le taux de disponibilit annuel du
service ?

Conformit cloud :
Le fournisseur de services cloud communique le taux minimum annuel
de disponibilit du service.

Recommandation n 2.2.3
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le taux minimum de disponibilit accept est de 99,8 %.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

61

3.2.5.6 Quelles sont les pnalits appliques au


fournisseur en cas de dpassement de la dure
ou du taux dindisponibilit contractuelles ?

Conformit cloud :
Le fournisseur de services cloud indique dans le contrat le montant du
plafond dassurance responsabilit professionnelle ou dune clause
pnale en cas dindisponibilit du service.

Recommandation n 2.2.4
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Indemnisation du prjudice subi par le cabinet sans limite.

3.3 Authentification
Une partie non ngligeable des salaris utilisent le mme mot de passe
pour se connecter Facebook, Google et aux applications de
lentreprise. Selon le niveau de maturit des collaborateurs par rapport
la scurit, il vaut mieux parfois utiliser une authentification forte pour les
applications SaaS, si le fournisseur propose cette option. Il est galement
possible que le cabinet dispose pour ses collaborateurs dune
infrastructure de gestion des identits et de l'accs IAM (Identity access
management) et que lauthentification puisse passer par cette
infrastructure. Noublions pas que les membres de lOrdre peuvent
squiper dun certificat dauthentification Signexpert. Dans le cas de
lutilisation dune simple combinaison identifiant/mot de passe, il faudra
inciter les utilisateurs (experts et clients) avoir un mot de passe
spcifique pour les SaaS du cabinet.

3.3.1 Quels sont les moyens dauthentification au


service cloud ?

Conformit cloud :
Lauthentification se fait par identifiant et mot de passe.

Excellence cloud :
Lauthentification est forte : Signexpert, cl tournante, certificat
numrique, biomtrie,

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

62

Collection des tudes institutionnelles

3.4 Protection des donnes


Outre la disponibilit du datacenter, la scurisation physique des sites est
indispensable pour assurer la protection des donnes.
La politique de scurit du prestataire doit prendre en charge plusieurs
niveaux :

laccs au site ;

laccs aux serveurs ;

laccs aux applications.

3.4.1 Laccs au site


La contrainte daccs aux sites est dune part de prserver laccs aux
datacenters o se trouvent les serveurs, et dautre part laccs aux
bureaux du prestataire o lexploitation des serveurs est faite. Dans les
deux cas, un accs par badge personnel est ncessaire. La surveillance des
datacenters pour viter le vol de matriel est trs stricte : toute action de
maintenance
doit tre planifie lavance,
des systmes
dauthentification biomtrique ou autres technologies du mme type sont
souvent utiliss.

3.4.2 Laccs aux serveurs


Laccs au serveur exige une authentification de chaque administrateur,
qui aura un primtre daction limit. Une fois ladministrateur habilit,
une application de monitoring peut enregistrer ses actions, afin de le
dissuader de toute action malveillante. Bien que cela ne soit pas une
obligation, dans un contexte dexternalisation, sassurer que ce type de
moyen soit mis en uvre est important.

3.4.3 Laccs aux applications


Laccs aux applications est en gnral dfini et gr par un
administrateur applicatif chez le client. Ce dernier dispose dun portail
dadministration qui lui permettra de dfinir les habilitations et les droits
daccs pour chaque utilisateur. Leurs actions sont donc souvent sous la
responsabilit directe du client qui doit tre entendue comme le Cabinet
ou son client dans certains cas.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

63

3.4.4 Questions -rponses sur la protection des donnes


3.4.4.1 Quels sont les moyens daccs aux sites
physiques du prestataire ?

Conformit cloud :
Laccs au site du fournisseur de services cloud se fait par badge
personnel.

Excellence cloud :
Lauthentification est renforce pour toute intervention matrielle.
3.4.4.2 Quels sont les moyens daccs aux serveurs du
prestataire ?

Conformit cloud :
Authentification forte et action limite de chaque administrateur.

Excellence cloud :
Monitoring de toutes les actions des administrateurs.
3.4.4.3 Quels sont les moyens daccs aux
applications ?

Conformit cloud :
Ladministration des accs aux applications est gre au travers dune
console
dadministration
avec
traabilit
des
actions
et
authentification.

3.5 Sauvegardes des donnes par le prestataire


Le cloud peut servir darmoire numrique pour vos documents juridiques et
comptables. Certains services permettent lenvoi de documents,
lindexation et le stockage de statuts, contrats, factures scanns au
pralable.
Le cloud peut galement servir de systme de sauvegardes. Une tude
portant sur la rcupration des donnes13 a conclu que les entreprises qui
n'utilisaient pas le cloud devaient compter sur les mthodes de sauvegarde
sur bande et des procdures compliques pour rcuprer leurs donnes...
Autant de manuvres lentes et laborieuses dont les utilisateurs du Cloud
13

OnlineTech.com, http ://resource.onlinetech.com/2011-cloud-it-disaster-recovery-statistics/

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

64

Collection des tudes institutionnelles

computing n'ont pas se proccuper. Les fournisseurs de solutions cloud


proposent en gnral des sauvegardes quotidiennes.
Le prestataire doit pouvoir prsenter une politique de sauvegarde claire et
assurer la traabilit de ces sauvegardes.

3.5.1 Questions -rponses sur les sauvegardes de


donnes
3.5.1.1 Le prestataire dispose-t-il dune politique de
sauvegarde et de la traabilit des
sauvegardes ?

Conformit cloud :
Le fournisseur de services cloud fournit une information claire dans le
contrat propos de la politique de sauvegarde et dhistorisation.

Recommandation n 2.2.1
du Conseil suprieur de l'ordre des experts-comptables.

3.6 Autres risques


Les risques lis la scurit sont aujourdhui identifiables et matrisables
dans des clauses contractuelles. Vous craignez de perdre vos donnes, de
ne plus pouvoir y accder, ou encore que des personnes non autorises y
accdent ? Mais tes-vous srs de pouvoir assurer dans vos locaux le mme
niveau de disponibilit, de protection physique que les datacenters des
clouds ? Par analogie, pensez-vous que votre argent est plus en scurit
la banque ou sous votre matelas (et aussi accessible de nimporte o) ?
Pour autant, les risques ne sont peut-tre pas l o on les attend :

perte dordinateur portable avec des donnes confidentielles,


collaborateur licenci qui part avec des dossiers sont autant de
risques quun systme cloud peut minimiser voire radiquer.

Tout accs un systme informatique protg doit faire lobjet dune


sensibilisation aux risques par les utilisateurs et dune mise en place dune
politique de scurit interne :

utilisation de plateformes cloud alternatives par les employs (clouds


publics, stockage en ligne) ;

utilisation incorrecte des donnes par les collaborateurs ;

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

65

mots de passe trop faciles deviner (mot de passe par dfaut, date de
naissance, prnoms des enfants), ou carrment inscrits sur des post-it
colls lordinateur ;

conformit cloud :
Le fournisseur de services cloud sengage proposer des data center
scuriss par certification ISO 27001 ou par une dclaration de
conformit un rfrentiel reconnu de scurit des data center.

Recommandation n 2.3.1
du Conseil suprieur de l'ordre des experts-comptables.

Lgislation
4.1 Localisation des donnes
4.1.1 Lenjeu de la souverainet des donnes

Au-del de la sphre informatique, lactualit mondiale est encore sous le


choc mdiatique du scandale Snowden. Rappelons quEdward Snowden,
agent de la NSA, lagence nationale de scurit amricaine, rvlait en
juin 2013 que la NSA et le FBI accdaient, travers un programme
dcoute massive baptis PRISM, aux donnes confidentielles hberges
dans les clouds publics sur son territoire. Des clouds parmi lesquels on
trouve Amazon, Google, Microsoft, etc grands fournisseurs de clouds dans
le monde entier et donc en France.
Le gouvernement amricain dispose de lgislations (Patriot Act, FISAA)
permettant la justice et aux forces de lordre daccder aux donnes
manipules par des socits de droit amricain quel que soit le client et la
localisation des donnes. Le risque est donc que des gouvernements aient
accs aux donnes dans un objectif despionnage conomique. Ce risque
est rel comme lillustrent les rvlations sur les moyens dont dispose la
NSA. Dans un cadre gnral, la porte du risque est mesurer. Seules
quelques donnes ont un niveau de sensibilit lev : tatiques
(administrations, dfense, etc.), stratgiques pour lentreprise dans un
environnement forts enjeux concurrentiels, gopolitiques, etc. Mais ce
titre, des informations de bilan sur des grandes socits en cours de faillite
peuvent tre des informations conomiques stratgiques. Comme aussi les
informations comptables et fiscales de People grs dans les cabinets.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

66

Collection des tudes institutionnelles

Pour des professions comme celle quexercent les experts-comptables, qui


manipulent des donnes sensibles sur leurs clients, ce genre dintrusion
peut paratre inacceptable et rdhibitoire quant ladoption dune
solution cloud. Pour sassurer que les donnes du cabinet ne soient pas
accessibles par un service de renseignements tranger, la solution serait
dexternaliser ses donnes sur un cloud franais.
Bien que les fournisseurs de cloud concerns sen dfendent, leur
collaboration avec les autorits amricaines a jet la suspicion sur
lopportunit dutiliser un cloud amricain. Le march en Europe est en
train dvoluer. Selon l'index rcent de PAC (Pierre Audouin Conseil) sur le
cloud : Les critres de choix d'un fournisseur de cloud public montrent
nettement une prfrence en faveur de la localisation des datacenters en
France (39 %), voire de la localisation en France du sige social (27 %) .
Du coup, les fournisseurs amricains sactivent pour satisfaire aux
exigences de la clientle franaise. IBM implante un site en France prs de
Montpellier, Salesforce promet la construction dun site en France en
2015, Microsoft recourt des partenaires cloud franais pour sduire les
entreprises locales.
Jadis relgus au rang de second choix, les fournisseurs de cloud franais
gagnent leurs lettres de noblesse et nhsitent pas brandir leur
nationalit comme un argument commercial. Dautant que leurs offres
nont rien envier leurs homologues outre-Atlantique en termes de
qualit puisque lon trouve des datacenters certifis Tier IV. Lanc il y a
deux ans, le projet de Clouds souverains a t remis en avant avec
lmergence de deux nouveaux acteurs subventionns, Numergy et
Cloudwatt.
Laffaire Snowden aura eu comme effet de mettre en avant la
problmatique de la localisation des donnes et de leur souverainet.

4.1.2 Lenjeu juridique de la localisation des donnes


Mais lenjeu de la localisation des donnes est aussi juridique. Notamment,
la lgislation franaise stipule que :

les donnes comptables ne doivent pas tre hberges en dehors de


lUnion Europenne ;

les entreprises dont les factures lectroniques sont hberges hors de


France et dans lUnion Europenne doivent en faire la dclaration.

Enfin si lhbergement des donnes sur des serveurs franais permet


dchapper la surveillance des services de renseignements amricains,
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

Partie 3 : La mise en place du cloud au sein du cabinet

67

noublions pas que ces donnes sont soumises une lgislation franaise
similaire au Patriot Act, la Loi de Programmation Militaire (LPM). Celle-ci
autorise les services de renseignement franais surveiller les donnes des
individus et des entreprises franaises faisant lobjet dune enqute pour
scurit nationale et lutte anti-terrorisme, mais aussi de la sauvegarde
des lments essentiels du potentiel scientifique et conomique de la
France [], de la criminalit et de la dlinquance organises , incluant,
notamment, la contrefaon ou la lutte contre la fraude fiscale commise en
bande organise14. Les donnes comptables ne sont donc pas labri dune
telle surveillance.
Pour autant, il apparat impratif que les donnes soient hberges sur des
datacenters dans lUnion Europenne, ne serait-ce que pour tre en
conformit avec la loi de finances.

4.1.3 Questions -rponses sur la localisation des


donnes.
4.1.3.1 O sont localiss gographiquement les
serveurs du prestataire ?

Conformit cloud :
Le fournisseur de services cloud sengage ce que les donnes soient
hberges dans lUnion Europenne ou dans un pays avec qui la France
a un accord de coopration fiscale.

Recommandation n 2.4.1
du Conseil suprieur de l'ordre des experts-comptables.

Excellence cloud :
Le fournisseur de services cloud sengage ce que les serveurs
principaux et redondants soient exclusivement localiss en France.

14
Alliancy.fr, Les enjeux de la loi de programmation militaire,
(http ://www.alliancy.fr/2014/05/23/juridique-les-enjeux-de-la-loi-de-programmationmilitaire_11581.html), 2014.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

68

Collection des tudes institutionnelles

4.2 Autres obligations juridiques


4.2.1 Territorialit des litiges
4.2.1.1 Quelle est la territorialit pour les litiges ?

Conformit cloud :
Le fournisseur de services cloud sengage ce quen cas de litige, seuls
les tribunaux franais soient comptents et le droit franais soit
applicable.

Recommandation n 2.4.2
du Conseil suprieur de l'ordre des experts-comptables.

4.2.2 Sous-traitance et porte-fort


4.2.2.1 Quelles sont les obligations du fournisseur
concernant la sous-traitance et les clauses de
porte-fort ?

Conformit cloud :
Le fournisseur de services cloud informe les cabinets de la soustraitance et dventuelles clauses de porte fort.

Recommandation n 2.4.3
du Conseil suprieur de l'ordre des experts-comptables.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Conclusion

71

Le cloud est une opportunit majeure pour les experts-comptables, en


particulier pour les cabinets de petite taille. Le cloud permet un
rquilibrage entre petits et gros cabinets en matire de systme
dinformation. Quand il fallait investir des dizaines de milliers deuros pour
une infrastructure solide et agile et embaucher un informaticien pour
grer le systme dinformation du cabinet, les structures de petites tailles
devaient soit consacrer un effort surdimensionn cet investissement, soit
renoncer la technologie de pointe.
Les services de Cloud computing sont gnralement fournis selon un
modle de paiement l'utilisation . Ils n'engendrent donc aucun frais
d'investissement (CAPEX). Par ailleurs, comme les services de Cloud
computing sont bien plus rapides dployer, les entreprises supportent
des cots de dmarrage minimes et des frais d'exploitation prvisibles sur
le long terme (OPEX).
Comme pour toutes les technologies encore rcentes, son adoption
comporte des risques. Tout au long de ce Guide, nous avons essay de vous
montrer que les risques lis au cloud sont finalement aisment
identifiables et matrisables par des clauses contractuelles. Nhsitez pas
faire jouer la concurrence, notamment sur les niveaux de rponse
suprieurs proposs dans ce Guide.
Finalement, le plus grand risque cest de ne rien faire. Vos clients sont
peut-tre, et probablement, dj sur le cloud. Nous pensons quils
apprcieront le niveau de qualit de service que vous leur apporterez avec
le cloud : collaboration, ractivit, scurit.
Pour la profession, les enjeux sont la libert, la scurit dans le respect de
la lgislation. Cest dans cet esprit que le CSO a mis en place les
recommandations conformit cloud du Conseil suprieur de l'ordre des
experts-comptables destination des diteurs. Lobjectif est dattirer leur
attention sur les aspects essentiels que sont la libert et lindpendance
de lexpert-comptable.
Bon cloud !

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

75

Lexique

Le Lexique du cloud : recensement


des principales dfinitions
API (Application Programming Interface, Interface de programmation) :
ensemble de composants logiciels et de la documentation associe
permettant une application d'interagir avec une autre application. Par
exemple un service cloud disposant d'une API permet un dveloppeur
d'crire un programme qui accde certaines fonctionnalits de ce
service.
Application : synonyme de logiciel. Dans le cloud, on parle plutt de
service.
Authentification forte : procdure d'authentification qui requiert la
concatnation d'au moins deux facteurs d'authentification parmi : mot de
passe, module physique (carte magntique, cl USB), empreinte
biomtrique (digitale, rtinienne, visage, voix), signature, etc.
Chiffrement : procd de cryptographie grce auquel on souhaite rendre
la comprhension d'un document impossible toute personne qui ne
possde pas la cl. L'opration inverse, qui suppose qu'on l'on connaisse la
cl, est donc le dchiffrement . Casser un message chiffr sans
connatre la cl est appel dcryptage . Ceci implique galement que le
mot cryptage n'a pas de sens logique en franais puisque l'opration
correspondante consisterait chiffrer un message sans avoir la cl.
Client-Serveur : L'environnement client-serveur dsigne un mode de
communication travers un rseau entre plusieurs programmes ou
logiciels : l'un, qualifi de client, envoie des requtes ; l'autre ou les
autres, qualifis de serveurs, attendent les requtes des clients et y
rpondent. Par extension, le client dsigne galement l'ordinateur sur
lequel est excut le logiciel client, et le serveur, l'ordinateur sur lequel
est excut le logiciel serveur.
Cloud computing : ensemble de ressources informatiques (stockage,
applications, serveurs) accessibles gnralement via Internet, utilisables
la demande ou en mode locatif.
Cloud hybride : infrastructure cloud mixte qui combine les ressources
internes dun cloud priv et les ressources externes dun cloud public. Une
entreprise qui utilise un cloud hybride peut par exemple utiliser les

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

76

Collection des tudes institutionnelles

ressources en interne en temps normal, et basculer ponctuellement et de


manire transparente sur un cloud public lors de pics dactivit.
Cloud priv : infrastructure cloud accessible uniquement par lentreprise.
Peut tre hberg en interne (cloud priv interne) ou hberg chez un
fournisseur cloud (cloud priv externe).
Cloud public : service cloud accessible via Internet par des individus ou
des entreprises. Le service peut tre hberg par l'entreprise qui fournit le
service (cloud interne) ou plus gnralement hberg chez un fournisseur
de cloud (cloud public).
Coffre-fort numrique : service hautement scuris pour archiver, indexer
et retrouver des fichiers numriques sensibles : documents administratifs,
factures, relevs, contrats, photos, etc. Ce service peut tre accessible en
ligne, via Internet.
CRM (Customer Relationship Management) : la gestion de la relation
client (GRC) est l'ensemble des outils et techniques destins capter,
traiter, analyser les informations relatives aux clients et aux prospects,
dans le but de les fidliser en leur offrant le meilleur service. En termes
d'applications informatiques, il s'agit des progiciels qui permettent de
traiter directement avec le client, que ce soit au niveau de la vente, du
marketing ou du service, et que l'on regroupe souvent sous le terme de
front-office , ceci par opposition aux outils de back-office que sont
les progiciels de gestion intgrs (ou ERP).
Datacenter : Un centre de traitement de donnes est un site physique sur
lequel se trouvent regroups des quipements constituants du systme
dinformation de lentreprise (ordinateurs centraux, serveurs, baies de
stockage, quipements rseaux et de tlcommunications, etc.).
Dmatrialisation : La dmatrialisation est le remplacement dans une
entreprise ou une organisation de ses supports d'informations matriels
(souvent en papier) par des fichiers informatiques et des ordinateurs,
jusqu' la cration de bureau sans papier ou zro papier quand la
substitution est complte.
ERP (Enterprise Resource Planning) : Un progiciel de gestion intgr (PGI)
est un progiciel qui intgre les principales composantes fonctionnelles de
l'entreprise : gestion de production, gestion commerciale, logistique,
ressources humaines, comptabilit, contrle de gestion.
HSM (Hardware Security Module) : un Module Matriel de Scurit est un
appareil lectronique offrant un service de scurit qui consiste gnrer,
stocker et protger des clefs cryptographiques. Ce matriel peut tre une
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

77

Lexique

carte lectronique enfichable PCI sur un ordinateur ou un botier externe


SCSI/IP par exemple.
IaaS (Infrastructure as a service) : modle de service cloud dans lequel le
fournisseur de cloud hberge toute la partie infrastructure : rseau,
stockage, serveur et virtualisation. Lentreprise dispose alors dun
datacenter virtualis prt lemploi sur lequel elle peut installer le
systme dexploitation et la plateforme dexcution de son choix (les
logiciels serveurs, bases de donnes, plateformes de dveloppement,
applications spcifiques)
Multi-tenant : dsigne un principe de mutualisation permettant un
logiciel de servir plusieurs organisations clientes (tenant en anglais, ou
entit en franais) partir d'une seule installation. Avec une architecture
multi-tenants, un logiciel est conu pour partitionner virtuellement ses
donnes et sa configuration, et chaque organisation cliente travaille avec
une instance virtuelle adapte ses besoins.
On premise : sur site. Dsigne une infrastructure ddie. C'est
l'infrastructure classique hberge en interne. S'oppose une
infrastructure cloud externalise
PaaS (Platform as a Service) : modle de service cloud dans lequel le
fournisseur de cloud prend en charge, en plus de la partie infrastructure de
lIaaS, toute la partie middleware : systme dexploitation, bases de
donnes, environnement de dveloppement. Cest un cloud destin avant
tout aux dveloppeurs dapplications
PCA (Plan de Continuit d'Activit) : plan de scurisation qui permet une
reprise chaud par une redondance de l'infrastructure sur un ou plusieurs
sites distants avec une rplication en temps rel des donnes (haute
disponibilit sur un ou plusieurs sites).
PRA (Plan de Reprise d'Activit) : plan de scurisation qui permet un
redmarrage froid de l'activit aprs un sinistre, avec restauration du
systme de stockage et darchivage.
Rsilience : capacit d'un systme ou
continuer de fonctionner en cas de panne

d'une

architecture rseau

Responsive Design : conception de sites web adaptatifs conue pour offrir


une exprience de consultation optimale facilitant la lecture et la
navigation. L'utilisateur peut ainsi consulter le mme site web travers
une large gamme d'appareils (moniteurs d'ordinateur, smartphones,
tablettes, TV, etc.) avec le mme confort visuel et sans avoir recours au

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

78

Collection des tudes institutionnelles

dfilement horizontal ou au zoom avant/arrire sur les appareils tactiles


notamment.
SaaS (Software as a Service) : Logiciel en tant que service, modle de
service cloud dans lequel le fournisseur prend tout en charge depuis
l'infrastructure jusqu'aux applications. L'utilisateur accde une
application la demande, sur modle locatif.
SLA (Service Level Agreement) : contrat de niveau de service, contrat
dans lequel le fournisseur s'engage sur un niveau de disponibilit du
rseau, des applications et des donnes.
SOA (Service Oriented Architecture, Architecture oriente services) :
architecture de mdiation mettant en uvre des services. Un service au
sens logiciel est un composant logiciel qui dlivre une fonctionnalit et qui
possde certaines caractristiques : granularit large (dlivre une
fonctionnalit large intgrant un ensemble doprations), couplage faible
(peu dpendant du contexte ou dautres services), communique avec les
autres services travers une interface via des messages.
StaaS (Storage as a Service) ou stockage en tant que service : stockage
de fichiers chez des hbergeurs. Ce sont des services grand public tels que
DropBox, Google Drive, iCloud, OneDrive. Les professionnels pourront se
diriger vers des offres telles que Amazon S3, Box.net, Hubic, Cloudwatt...
Taux de disponibilit, ou niveau de disponibilit : pourcentage du temps
pendant lequel un systme est disponible. S'exprime en gnral sur une
priode d'un an. Un taux de disponibilit de 99 % correspond un taux
d'indisponibilit de 1 %, soit environ 87 heures d'interruptions cumules sur
un an.
Tier : classification des datacenters dfini par l'Uptime Institute, en
fonction de leur taux de disponibilit
Tier I

99,671 %

Tier II

99,741 %

Tier III

99,982 %

Tier IV

99,995 %

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Lexique

79

Virtualisation : La virtualisation consiste faire fonctionner un ou


plusieurs systmes d'exploitation comme un simple logiciel sur un
ordinateur, au lieu de ne pouvoir en installer qu'un seul par machine. Par
extension, la virtualisation s'applique du stockage, du rseau.
VPN (Virtual Private Network) : un rseau priv virtuel est un systme
permettant de crer un tunnel, c'est--dire un lien direct entre des
ordinateurs distants. Les ordinateurs connects au VPN sont ainsi sur le
mme rseau local (virtuel), ce qui permet de passer outre d'ventuelles
restrictions sur le rseau (pare-feu, proxy).

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

83

Annexe

CONFORMITE CLOUD 2014 et 2015


Les recommandations
du Conseil suprieur
de l'Ordre des experts-comptables
Prambule
Cette liste de recommandations est destination des fournisseurs de
solutions cloud (dnomms les destinataires) pour leur permettre
daffirmer leur engagement sur le respect de la libert, de lautonomie, de
lindpendance et de la scurit des structures dexpertise comptable et
de leurs donnes. Cette premire version ne concerne pas les seuls
hbergeurs.
Elle est le rsultat de la rflexion du groupe de travail de professionnels,
membres de la commission innovation technologique, sous la responsabilit
du Vice-Prsident de la commission Michel Bohdanowicz.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

84

Collection des tudes institutionnelles

Article 1 : Engagements des destinataires


1

LIBERTE, AUTONOMIE, INDEPENDANCE

1.1

Rversibilit

La rversibilit garantit lutilisateur du service la possibilit de changer


de prestataire en rcuprant ses donnes.
Aussi les destinataires sengagent :
1.1.1

Exporter toutes les donnes, documents et fichiers de lexpert en


format libre ASCII ou selon des standards du march.

1.1.2

Permettre cette rcupration immdiatement dossier par dossier,


a minima.

1.1.3

Ne pas facturer de supplment pour le tlchargement dossier par


dossier.

1.1.4

Permettre le retour en mode local, pendant les 3 mois suivant une


souscription loffre cloud, pour les diteurs proposant les deux
modes dexploitation de leurs solutions (local et cloud).

1.1.5

Informer clairement, ds la signature du contrat, de la dure de


conservation des donnes par le prestataire aprs la fin de celui-ci.

1.1.6

Informer obligatoirement et clairement ds la signature du contrat


sur les services permettant de rexploiter les donnes aprs la fin
du contrat (notamment en cas de contrle fiscal).

1.2

Interoprabilit entre les solutions cloud

Le recours des solutions cloud dorigines diffrentes ncessite que cellesci communiquent entres elles au bnfice de lexprience-utilisateur.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

85

Annexe

Aussi les destinataires sengagent :


1.2.1

Sur lexistence de web services ou connecteurs entrants ou


sortants avec dautres solutions diteurs ; ou sur la possibilit
dimporter et dexporter des donnes principales et cls de toutes
les applications (avec information pralable sur les donnes
concernes).

1.2.2

A informer les experts-comptables sur la politique de licences et


de gestion de la compatibilit des versions de loffre avec les
diffrents logiciels bureautiques.

1.2.3

A mettre en uvre un SSO (single sign on) permettant une


navigation sans r-authentification entre les applications dun
mme diteur et intgrer les nouvelles offres dveloppes ou
acquises dans ce dispositif.

1.3

Dure et nature dengagement

Le choix dune solution cloud pour son systme dinformation porte les
mmes engagements en termes de formation des collaborateurs,
dingnierie de migration et dorganisation interne quune solution en
mode local. Le cloud offre cependant de nouvelles perspectives dusages
ponctuels ou dynamiques selon la croissance ou dcroissance du cabinet et
la nature des clients. Ces lments doivent tre pris en compte dans la
dure et la nature des engagements.
Aussi les destinataires sengagent :
1.3.1

A ne pas imposer une dure dabonnement de plus de 36 mois.

1.3.2

A rendre adaptables les dispositions contractuelles (options


destination des clients, notamment) relatives la dure et au
nombre de licences.

1.3.3

A limiter la dure de la tacite reconduction 12 mois.

1.3.4

A respecter un pravis de 6 mois pour dnoncer le contrat.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

86

1.4

Collection des tudes institutionnelles

Accessibilit des donnes cabinet

Un des atouts du cloud rside dans la disponibilit des donnes dans le


temps et lespace, traduite par lacronyme ATAWAD (Anytime, Anywhere,
Anydevices).
Aussi les destinataires sengagent :
1.4.1

Proposer la solution cloud en mode : ATAW (Anytime, Anywhere) et


prvoir dans ses plans de dveloppements datteindre le niveau
ATAWAD.

1.4.2

Permettre au cabinet de mmoriser ponctuellement un dossier et


le restaurer ultrieurement.

1.4.3

Donner laccs aux sauvegardes du fournisseur et leur historique


en prcisant les modalits pratiques et juridiques (dossier par
dossier, globalement, priode de consultation) dans le contrat.

1.4.4

Informer par avance des priodes dindisponibilit programmes


pour maintenance technique.

1.4.5

Conserver une traabilit de la dernire modification ralise et


des accs collaborateurs.

1.5

Accessibilit aux donnes cabinet par les clients

Le cloud est la base de processus collaboratifs ou dinformations entre le


cabinet et ses clients.
Aussi les destinataires sengagent :
1.5.1

Sinterdire la consultation ou lexploitation directe ou indirecte


des donnes des clients du cabinet dans un strict respect du secret
professionnel.

1.5.2

Tenir compte du fait que le cabinet doit pouvoir proposer son


client des accs distincts des droits du cabinet avec des droits
diffrencis pour les utilisateurs du client.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

87

Annexe

1.5.3

Permettre la gestion par le cabinet des priodes consultables par


le client.

1.5.4

Offrir un accs ATAWAD en consultation.

1.5.5

Fournir une information claire pour le cabinet et son client sur


lorigine des informations changes avec celui-ci. (Le client a-t-il
accs la base de donnes du cabinet ou une base ddie et
donc sa frquence de mise jour).

1.5.6

Conserver la traabilit des accs des clients et de leur dernire


modification ralise.

1.5.7

Permettre un verrouillage de la saisie par le cabinet.

1.5.8

Fournir un support technique aux utilisateurs.

1.5.9

Proposer une interface spcifique pour le client en saisie et en


restitution (tableaux de bord).

1.6

Confidentialit et proprit des donnes

Les enjeux de proprit des donnes sont plus prgnants dans les solutions
cloud.
Aussi les destinataires sengagent :
1.6.1

A respecter et faire respecter par leurs collaborateurs et leurs


fournisseurs le secret professionnel des experts-comptables.

1.6.2

A ne pas facturer directement le client du cabinet pour ses options


sans laccord de lexpert-comptable.

1.6.3

A inscrire dans le contrat que la proprit des donnes est dvolu


au cabinet.

1.6.4

A ne pas diffuser ni exploiter les donnes des clients du cabinet.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

88

Collection des tudes institutionnelles

SECURITE

La contrepartie du cloud est une plus grande vulnrabilit aux menaces de


pertes et vols des donnes ou lindisponibilit des services. Les
paragraphes suivants expriment les dispositifs devant tre mis en uvre
par les destinataires pour garantir un minimum de scurit aux cabinets.

2.1

Cryptage des donnes

2.1.1

Les destinataires sengagent utiliser un tunnel scuris entre le


client et les serveurs du prestataire avec un cryptage 128 bits au
minimum.

2.2

Sauvegardes des donnes par le prestataire

Les destinataires sengagent :


2.2.1

Fournir une information claire dans le contrat propos de la


politique de sauvegarde et dhistorisation.

2.2.2

Limiter 4 heures maximum, aprs un incident, le plan de reprise


dactivit, ventuellement sur un primtre fonctionnel rduit.

2.2.3

Communiquer le taux minimum annuel de disponibilit du service


cloud.

2.2.4

Indiquer dans le contrat le montant du plafond dassurance


responsabilit professionnelle ou dune clause pnale en cas
dindisponibilit du service.

2.3

Scurit physique des sites

2.3.1

Les destinataires sengagent proposer des data center scuriss


par certification ISO 27001 ou par une dclaration de conformit
un rfrentiel reconnu de scurit des data center.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

89

Annexe

2.4

Localisation des donnes hberges, responsabilits

Les destinataires sengagent :


2.4.1

Ce que les donnes soient hberges dans lUnion Europenne ou


dans un pays avec qui la France a un accord de coopration fiscale.
Cette rgle est applique au serveur principal et tous les
dispositifs de secours ou secondaires. Elle est maintenue pendant
toute la dure du contrat et adapte selon les changements de la
rglementation et des relations entre pays. Le client est inform
des volutions ralises.

2.4.2

Ce quen cas de litige, seuls les tribunaux franais soient


comptents et le droit franais soit applicable.

2.4.3

Informer les cabinets de la sous-traitance et dventuelles clauses


de porte fort.

GARANTIES ET DONNEES FINANCIERES

Les destinataires sengagent :

3.1

Mentionner dans le contrat les garanties et


assurances proposes.

3.2

Publier leurs donnes financires, notamment leur


cotation Banque de France.

3.3

Informer leurs clients en cas changement de contrle


(exclusif ou conjoint) ou dinfluence notable
(dans le sens de la norme IAS 28) et rendre possible
la rsiliation du contrat avec respect des dlais de
pravis prvus.

3.4

Informer de lexistence dun club utilisateurs


dexperts-comptables.
Guide pratique sur le bon usage du cloud computing
par les cabinets d'expertise comptable CSOEC Edition 2014

90

Collection des tudes institutionnelles

Article 2 : Communication
Les destinataires de la prsente liste sont autoriss apposer sur leurs
supports de communication leur engagement de respecter lensemble des
recommandations du Conseil suprieur de l'ordre des experts-comptables
Conformit cloud suivi de lanne de validit.
Les destinataires bnficieront par ailleurs de la promotion de la liste de
recommandations Conformit cloud assure par le Conseil suprieur.

Article 3 : Dure
Compte tenu des volutions technologiques trs rapides, cette liste de
recommandations est valable jusquau 31 dcembre 2015 dans la version
actuelle.

Article 4 : Non-respect des engagements


Le Conseil suprieur nest pas responsable du non-respect par les
destinataires de leurs engagements.
Il se rserve le droit de demander un destinataire des explications en cas
de doute sur le respect dune recommandation.
Cette demande devra tre adresse par courrier recommand avec accus
de rception. Les explications du destinataire devront tre communiques
au Conseil suprieur par courrier recommand avec accus de
rception dans un dlai de 15 jours compter de la date de rception ou
de premire prsentation de la demande.
A dfaut dlments dexplication permettant de garantir le respect de la
recommandation en cause, le Conseil suprieur de l'ordre des expertscomptables informera le destinataire de son interdiction dutiliser toute
rfrence la Conformit cloud et de son retrait de la liste prvue
larticle 2 de la prsente.

Guide pratique sur le bon usage du cloud computing


par les cabinets d'expertise comptable CSOEC Edition 2014

Оценить