Comment l’Arcep veut renforcer la portabilité et l’interopérabilité dans le cloud
Cyberéthique et libertés numériques

Comment l’Arcep veut renforcer la portabilité et l’interopérabilité dans le cloud

Artia13 10 Views

Nuage magique

Comment l’Arcep veut renforcer la portabilité et l’interopérabilité dans le cloud

Le gendarme des télécoms vient de mettre en ligne son projet de recommandation sur l’interopérabilité et la portabilité des services cloud. Il s’agit de définir les « bonnes pratiques » pour faciliter le changement de fournisseurs.

La loi SREN (Sécuriser et réguler l’espace numérique), promulguée en avril 2024, confie deux nouvelles missions à l’Arcep, le régulateur des télécoms : « la régulation des services cloud et la régulation des intermédiaires de données ». L’Autorité explique que sa mission est notamment « de préciser les règles et les modalités de mise en œuvre des exigences essentielles d’interopérabilité, de portabilité et d’ouverture des API » pour les services de cloud.

Après avoir lancé une consultation publique fin 2024, l’Arcep s’appuie sur la vingtaine de retours pour avancer dans ces travaux. Elle vient de passer une nouvelle étape avec la présentation de son projet de recommandation relative à « l’interopérabilité et à la portabilité des services d’informatique en nuage ». Il est soumis à consultation jusqu’au 18 juillet 2025 à 18 h.

Des données et informations dans un « format lisible par ordinateur »

Premier point, qui ne surprendra personne : « les acteurs ont majoritairement reconnu l’intérêt de rendre disponibles des informations comparables ». Certains mettent néanmoins en garde contre « une harmonisation trop stricte du format de diffusion de ces informations, susceptible de générer des lourdeurs excessives en particulier pour des fournisseurs de petite taille ». Se dirige-t-on vers la concrétisation d’un espoir que nous soulevions il y a déjà cinq ans : une fiche d’information standardisée du cloud ? À l’instar de ce qui existe pour les forfaits mobiles ou les banques, cela permet de facilement comparer les offres.

Justement, « afin de faciliter la comparaison entre les services cloud », l’Arcep dresse la liste des informations que les hébergeurs doivent transmettre et le format à utiliser, avec « un ordonnancement uniforme ». L’Autorité propose ainsi que les principales informations soient à la fois disponibles dans un format libre (page web, PDF…), et dans un « format lisible par ordinateur (JSON par exemple) ».

Concernant les informations à proposer aux clients, l’Arcep propose la liste suivante :

  • données (brutes ou dérivées) et actifs numériques ;
  • procédures pour initier une migration depuis et vers le service cloud ;
  • méthodes de migration disponibles (upload, API, expédition de disques) et recommandées en fonction du volume, avec les protections (chiffrement), restrictions et limitations connues ;
  • comment garantir la sécurité des données lors du transfert (authentification, confidentialité…) ;
  • procédures pour tester la migration ;
  • processus pour garantir l’intégrité des données et la continuité de service pendant la migration ;
  • processus de résiliation après une migration ;
  • outils de supervision disponibles et coûts associés ;
  • formats disponibles, recommandés ou utilisés et documentation associée (migration et multi-cloud) ;
  • documentation des API pour la portabilité et l’interopérabilité ;
  • description des dépendances nécessaires à l’export des données ;
  • délais de migration et durée de transfert des données.

L’Arcep demande aux acteurs du marché si les informations proposées couvrent « les besoins des clients pour comprendre les modalités de portabilité et d’interopérabilité d’un service cloud ». Le cas échéant, de lister les éléments de la liste à modifier.

Une bonne pratique à mettre en place : OpenAPI

Le règlement sur les données prévoit aussi que les fournisseurs de cloud proposent « des interfaces ouvertes à disposition de leurs clients » pour faciliter le changement de fournisseur et l’interopérabilité. « Ces interfaces permettent de garantir que les informations utilisées entre deux systèmes cloud sont renseignées selon des formats interprétables, à l’aide de protocoles partagés et que les systèmes soient interconnectés par des réseaux pour pouvoir les échanger », rappelle le régulateur.

Sans surprise, les retours de l’année dernière reconnaissaient unanimement l’intérêt d’avoir des « API disponibles, stables et documentées ». Certains en ont profité pour glisser à l’oreille de l’Arcep la spécification OpenAPI, qui repose sur des « standards et des spécifications de l’Internet Engineering Task Force (IETF) ».

Pour l’Arcep, c’est une « une bonne pratique » à promouvoir. Elle demande donc aux fournisseurs d’adopter « la version la plus récente de la spécification OpenAPI pour la description et la documentation de leurs API ». Dans son projet de recommandation, l’Autorité demande aux fournisseurs si l’adoption généralisée de la spécification OpenAPI est souhaitable.

Prévenir un an en avance les mises à jour qui cassent la rétrocompatibilité

Sur les API toujours, des retours revenaient sur un point important : les mises à jour « soudaines et trop fréquentes de certaines API clés », surtout lorsqu’elles cassent la rétrocompatibilité. La conséquence ? Cela peut « limiter la capacité des fournisseurs tiers à garantir la compatibilité de leurs services, et in fine leur interopérabilité ».

Les contributeurs proposaient des délais de préavis de trois et douze mois en cas de mises à jour non rétrocompatibles. L’Arcep part sur le délai le plus long et demandent aux fournisseurs d’informer leurs clients « par l’intermédiaire de message d’avertissement douze mois au minimum » avant la mise en place d’une mise à jour non rétrocompatible. L’Autorité attend des retours sur ce point.

Une fois la consultation publique terminée, l’Arcep décidera de ses recommandations finales et publiera (dans un souci de transparence) les retours qu’elle aura reçus, « à l’exclusion des éléments d’information couverts par le secret des affaires ».

Il ne s’agit dans tous les cas que de recommandations, comme l’Autorité le reconnait elle-même : « plutôt que d’adopter des règles contraignantes qui ne s’appliqueraient que pour une durée limitée, en raison de l’entrée en application prochaine du règlement sur les données, et uniquement aux fournisseurs de services cloud établis en France, l’Arcep estime plus approprié de définir des bonnes pratiques à destination de l’ensemble des fournisseurs de services cloud ».

Auteur : Sébastien Gavois

Aller à la source

Artia13

Bonjour ! Je m'appelle Cédric, auteur et éditeur basé à Arles. J'écris et publie des ouvrages sur la désinformation, la sécurité numérique et les enjeux sociétaux, mais aussi des romans d'aventure qui invitent à l'évasion et à la réflexion. Mon objectif : informer, captiver et éveiller les consciences à travers mes écrits.

Artia13 has 3413 posts and counting. See all posts by Artia13

Vous Aimerez Peut-être Aussi

How Hackers Steal Your Data in Public WiFi!#CyberSecurity#PublicWiFi#Hacking#DataProtection#OnlineSa

How Hackers Steal Your Data in Public WiFi!#CyberSecurity#PublicWiFi#Hacking#DataProtection#OnlineSa

TechTutorials
SURVEILLANCE DE MASSE LE CONSEIL D’ÉTAT DÉTRUIT NOS LIBERTÉS NUMÉRIQUES

SURVEILLANCE DE MASSE LE CONSEIL D’ÉTAT DÉTRUIT NOS LIBERTÉS NUMÉRIQUES

Les Nouveaux Libertaires
Le secret du sexe des ornithorynques enfin percé après 20 ans de mystère

☕️ Design : OpenAI rachète l’entreprise de Jony Ive pour 6,5 milliards de dollars

Artia13