Le récent dé-commissionnement de la plateforme de médias sociaux PARLER incite les entreprises à mieux comprendre les risques qu’il y a à compter sur les fournisseurs de services Cloud pour assurer leur fonctionnement.
De nombreux CSP, dont AWS, Okta et Stripe, ont suspendu ou mis fin au service de Parler après l’invasion massive du Capitole américain le 6 janvier 2021. Cela a effectivement entraîné la fermeture, ou le « dé-commissionnement » de l’entreprise Parler. En conséquence, les chefs d’entreprise revoient leurs stratégies de gestion des risques pour comprendre à quel point ils seraient exposés si un contrat de service en ligne essentiel était résilié.
Quand et pourquoi le dé-commissionnement se produit-il ?
Le dé-commissionnement ne se produit pas souvent, mais il a lieu. Les CSP ont rejeté, résilié ou annoncé qu’ils ne prendraient plus en charge les contrats avec certaines entreprises.
Par exemple, PayPal a annoncé qu’il ne traiterait plus les paiements des artistes sur PornHub, une plateforme de contenu vidéo pour adultes ; et Salesforce a modifié le libellé de ses conditions de service en 2019 pour interdire certains types de transactions de vente au détail d’armes à feu.
Les fournisseurs cloud peuvent résilier les contrats pour des violations matérielles des conditions de service, choisir de ne pas les renouveler ou offrir des conditions si peu attrayantes que le non-renouvellement est la seule option raisonnable. Cela vaut non seulement pour les fournisseurs cloud, mais aussi pour les processeurs de paiement, les fournisseurs de services de E-commerce, les hébergeurs traditionnels et de nombreux fournisseurs d’infrastructures internet essentielles. Si un fournisseur met fin à un contrat de service, cela peut avoir de graves conséquences pour votre entreprise.
Il existe des raisons communes pour lesquelles les CSP suspendent ou résilient un service, et certaines entreprises peuvent être plus exposées à des interactions négatives avec les fournisseurs. Chaque entreprise peut évaluer les risques et les réduire au minimum.
Pourquoi un CSP voudrait-il virer votre entreprise de sa plate-forme ?
La plupart des CSP exigent dans leurs contrats que les clients adhèrent à une “politique d’utilisation acceptable”. Les nuances exactes d’une telle politique varient selon les entreprises, mais presque tous les CSP interdisent au minimum les activités illégales, ainsi que les contenus qui exposent le fournisseur à des risques excessifs. Dans le cas de PornHub, par exemple, Mastercard, Visa et Discover ont bloqué les clients qui utilisaient leur carte sur le site, par crainte que le site ne présente une exploitation des enfants.
Dans le cas de Parler et PornHub, ils représentent différentes formes de “risque excessif” pour les CSP, généralement une barre haute à atteindre étant donné les lois qui protègent ces fournisseurs cloud de toute responsabilité. La législation américaine protège les CSP lorsqu’ils agissent de bonne foi pour modérer le contenu, mais ne les oblige pas à le faire dans la plupart des cas – mais pas tous. Les contenus ou les actions qui enfreignent les lois seront généralement jugés trop risqués pour être tolérés, et donneront presque certainement lieu à des mesures d’application de la politique d’utilisation acceptable.
Certains clients peuvent s’inquiéter du fait que le dé-commissionnement pourrait résulter de la “voix de la société” – activisme des employés, activisme des actionnaires, activisme des entreprises, et autres formes de pression interne ou externe motivée par une cause particulière. Les différents CSP auront des positions différentes face à ces pressions. Notez que ces pressions et réactions ne sont pas propres au cloud computing.
Que doivent faire les organisations pour minimiser les risques ?
Peu de clients commerciaux légitimes courent un risque important de violer une politique d’utilisation acceptable d’une manière qui entraînerait une suspension ou une résiliation. Pour réduire votre risque :
Veillez à maintenir une sécurité adéquate pour les ressources IaaS et PaaS. Vous ne voulez pas violer la politique par inadvertance parce qu’un attaquant a fait un mauvais usage de vos ressources.
Développez des politiques et des procédures pour la surveillance et la gestion des utilisateurs finaux. Documentez les normes de comportement dans les accords de service avec vos utilisateurs finaux et surveillez le respect de vos systèmes afin de prévenir les violations de la politique avant qu’elles ne se produisent.
Traitez rapidement les avertissements de violation de la politique. Créez un processus et des lignes de responsabilité claires pour traiter toute violation de la politique.
Négocier un contrat d’entreprise. Opérer sur la base d’un contrat d’entreprise négocié plutôt que sur la base d’un accord par clic. Si votre organisation est susceptible de violer la politique dans le cadre de ses activités normales, vous devez négocier une clarification de la politique dans votre contrat.
Les fournisseurs d’IaaS – tels qu’Amazon Web Services, Microsoft Azure et Google Cloud Platform – se considèrent généralement comme des services publics neutres quant aux clients qu’ils acceptent et servent, pour autant que ces clients respectent leurs obligations contractuelles, y compris la politique d’utilisation acceptable. Toutefois, d’autres types de fournisseurs de services peuvent être plus sélectifs quant aux organisations qu’ils sont prêts à servir.