Google or not Google?

Grande question, d’autant plus depuis les révélations sur les pratiques des services américains, et de certaines sociétés mondiales. Sont généralement visées les GAFAM, mais pas seulement.

Au commencement était l’hébergement en interne. Aucun problème de confidentialité, on fait confiance à nos utilisateurs et à nos administrateurs.

Mais de plus en plus, le mode SaaS pénètre les systèmes d’information. Il est vrai que c’est plus simple : on achète le service, et on se libère des problématiques du développement, de la maintenance, etc. On a même quelqu’un sur qui taper en cas de besoin.

La contrepartie, c’est d’exporter les données métier chez le fournisseur de service. Et souvent, il est américain. Ou est hébergé par une société américaine, voire même directement sur le territoire américain. Et donc soumis au Patriot Act.

Cet export peut ne poser aucun problème : externaliser le menu du jour du restaurant d’entreprise ne comporte aucun risque. Au pire, le monde entier saura que c’était cuisse de canard jeudi dernier. Mais souvent, on parle de données autrement plus sensibles, comme par exemple le programme secret d’amélioration des performances environnementales d’un moteur de voiture¹.

La politique de l’entreprise peut alors être d’interdire purement et simplement l’export de données métier vers les États-Unis. La DSI favorise alors les solutions pouvant être hébergée en interne, on-premise, au risque de devoir plus tard faire face au grey IT : ces outils et applications utilisés directement par les métiers sans que la DSI ne soit au courant.

J’en viens alors à la motivation de ce billet. Pourquoi interdire l’utilisation des services Google, pour ensuite externaliser toute la messagerie sur Office 365, la messagerie cloudifiée par Microsoft ?!

Notons que sur le plan individuel, le même problème peut se reproduire : prétendre se libérer de l’emprise de Google en remplaçant Chrome par Firefox est illusoire si c’est pour ensuite aller sur GMail…