Votre fournisseur de services cloud peut-il retirer votre accès aux serveurs et ne plus vous héberger ?

Plusieurs fournisseurs de services technologiques (dont Amazon Web Services, Okta et Stripe) ont suspendu ou interrompu les services fournis à Parler après l'invasion du Capitole américain par des manifestants le 6 janvier 2021. Ces mesures ont abouti à l'arrêt des activités de Parler et au retrait total de la plateforme. De ce fait, les chefs d’entreprise revoient maintenant leurs stratégies de gestion des risques pour comprendre dans quelle mesure ils seraient exposés en cas de résiliation d'un contrat de service en ligne stratégique.

À quel moment et pour quels motifs une telle suspension des services survient-elle ?

Une telle coupure de l'accès aux serveurs est un événement rare, mais le risque existe. Les prestataires de services technologiques ont décliné, résilié ou annoncé qu'ils ne prendraient plus en charge leurs contrats avec certaines entreprises.

La société PayPal a par exemple annoncé qu'elle ne traiterait plus les paiements des acteurs sur PornHub, une plateforme de contenu vidéo pour adultes et Salesforce a modifié la formulation de ses conditions d’utilisation en 2019 pour interdire certains types de transactions liées à la vente d'armes à feu.

Les prestataires de service peuvent résilier les contrats au motif de violation manifeste des conditions d’utilisation du service ; ils peuvent aussi choisir de ne pas les renouveler ou d’offrir des conditions tellement peu avantageuses que le non-renouvellement est la seule option envisageable. Cela vaut aussi bien pour les fournisseurs de services de cloud que pour les organismes de traitement des paiements, les fournisseurs de services d’e-commerce, les hébergeurs traditionnels et de nombreux fournisseurs d’infrastructures Internet essentielles. Si un fournisseur met fin à un contrat de service, cela peut avoir de graves répercussions sur votre activité.

Il existe des motifs fréquents pour lesquels les fournisseurs de services suspendent ou résilient les services et certaines sociétés peuvent être plus exposées aux conséquences négatives de leurs relations avec les fournisseurs. Chaque entreprise peut évaluer ces risques et essayer de les minimiser.

Pourquoi un fournisseur de services exclurait-il votre entreprise de sa plateforme ?

La plupart des prestataires de services technologiques demandent, dans leurs contrats, que les clients adhèrent à une « politique d’utilisation acceptable » (PUA). Les modalités spécifiques d’une PUA varient d'une entreprise à l'autre, mais presque tous les fournisseurs de services interdisent à minima les activités illégales ainsi que les contenus qui exposent le prestataire à des risques trop importants. Dans le cas de PornHub, par exemple, Mastercard, Visa et Discover ont empêché les clients d'utiliser leurs cartes de crédit sur le site par crainte que celui-ci ne présente des contenus pédopornographiques.

Parler et PornHub représentent différentes formes de «∘risque excessif∘» pour les fournisseurs, le seuil de tolérance au niveau des prestataires est généralement élevé compte tenu des lois qui protègent ceux-ci de toute responsabilité. La loi américaine protège les fournisseurs de services quand ceux-ci entreprennent de modérer le contenu de leurs services de bonne foi, mais ne les oblige pas à le faire dans la plupart des cas. Le contenu ou les actions qui enfreignent les lois seront généralement jugés comme présentant un risque trop élevé pour être toléré et donneront presque certainement lieu à des mesures d'application de la PUA.

Certains clients peuvent craindre que la suppression de la plate-forme ne se produise en raison de la pression exercée par les acteurs sociaux : activisme des employés/actionnaires/entreprises et autres formes de pression interne ou externe motivées par une cause particulière. Les prestataires de services adopteront des approches différentes face à de telles pressions. En général, les fournisseurs d'infrastructures sont moins susceptibles d'être influencés par ces pressions que les autres types de fournisseurs de services. Soulignons que ces pressions et ces réponses ne sont pas propres au cloud computing.

Que devraient faire les entreprises pour minimiser les risques ?

Peu de clients professionnels légitimes sont réellement susceptibles de violer une PUA d'une manière qui entraînerait une suspension ou une résiliation. Pour réduire vos risques :

• Assurez-vous de toujours maintenir un degré approprié de sécurité pour les ressources IaaS et PaaS. Vous ne voudriez pas enfreindre par inadvertance la PUA suite à une mauvaise utilisation de vos ressources par un attaquant.
• Développez des politiques et procédures de surveillance et de gestion des utilisateurs finaux. Incorporez des normes de comportement souhaitées dans les contrats de service stipulés avec vos utilisateurs finaux et surveillez la conformité de vos systèmes afin de prévenir toute violation de la PUA avant qu'elle ne se produise.
• Répondez promptement aux avertissements de violation de la PUA. Créez un processus et des champs de responsabilité clairs pour gérer toute violation de la PUA.
• Négociez un contrat d’entreprise. Préférez un contrat d'entreprise négocié à un accord par clic. Si votre organisation est susceptible de violer la PUA dans le cadre de ses activités courantes, vous devriez négocier une clause apportant des précisions au sein de la PUA de votre contrat.

Les prestataires de services IaaS comme Amazon Web Services, Microsoft Azure et Google Cloud Platform se considèrent généralement comme des services publics neutres sur le choix des clients qu'ils acceptent et desservent, tant que ces clients se conforment à leurs obligations contractuelles, y compris le respect de la PUA. Cependant, d'autres types de fournisseurs de services peuvent être plus sélectifs quant aux organisations qu'ils sont prêts à prendre en charge.