Stéphane de Saint Albin est président de Rohde&Schwarz Cybersecurity France et vice-président d'Hexatrust. (crédit : D.R.)
Les décideurs européens se trouvent face à un choix draconien : éviter les clouds publics ou abandonner tout espoir de conserver la souveraineté de leurs données sensibles. De fait, toute organisation désireuse de garder la maîtrise de ses joyaux numériques devrait probablement éviter de déployer des applications critiques ou de conserver des informations confidentielles sur les clouds publics.
Alors que le Règlement Général sur la Protection des Données adopté par l'Europe vise à protéger le caractère privé de nos données personnelles, le droit américain relègue clairement cette dernière à un niveau de priorité moindre. Depuis mars 2018, le « Clarifying Lawful Overseas Use of Data » (CLOUD) Act officialise une pratique mise en lumière par Edward Snowden en obligeant tout « fournisseur de services de communications électroniques ou d'informatique à distance » soumis à la loi américaine à accepter les demandes d'accès formulées par une autorité judiciaire dans le cadre d'une enquête. Et ce, quel que soit l'endroit où ces données peuvent être stockées dans le monde. Détrompez-vous si vous pensez qu'utiliser les datacenters localisés en Europe de votre fournisseur américain préféré minimise ce risque. Toute entreprise ayant des activités à l'échelle internationale devrait se sentir concernée. Et si vous avez un doute quant à la réalité de ce risque, regardez les pénalités qu'ont subi ces dernières années de grands groupes européens dans la banque, l'automobile ou l'énergie.
L'offre de cloud computing se développe lentement en Europe. Il y a quelques années, le gouvernement français a investi massivement dans la création de deux cloud souverains, avec le succès que l'on sait. Certaines entreprises privées européennes, comme Outscale et OVH, par exemple, sauront peut-être séduire les acheteurs soucieux des questions de sécurité et à la recherche de solutions compétitives. Mais, pour l'essentiel, la bataille du cloud est terminée : ce sont des entreprises américaines qui fournissent ce moteur essentiel de l'économie globale. Les clients européens qui développent des services cloud dans le cadre de leur transformation numérique se tournent vers Amazon, Microsoft et Google, si ce n'est Oracle et IBM. Les RSSI européens doivent en tenir compte lors de la définition de leur stratégie de sécurité. Des solutions existent, qui permettent aux entreprises et organismes publics de conserver le contrôle sur leurs actifs numériques stratégiques et de maintenir la souveraineté de leurs données dans un monde de communications ouvertes.
Trois options pour garder le contrôle et assurer la souveraineté des données
1/ Ne pas utiliser les clouds publics. Les datacenters et clouds privés restent à l'évidence des choix privilégiés pour les applications critiques et les données sensibles. On pourra toutefois envisager d'utiliser des clouds publics pour les applications générales et données non critiques. Difficile en effet de faire abstraction des avantages liés à la flexibilité, au rapport coût-efficacité et à la sécurité globale qu'offrent de telles plate-formes. Les clouds hybrides constituent une solution viable pour les organisations ayant des impératifs de sécurité élevés, car ils permettent d'offrir un bon niveau de sécurité des données, si l'on se donne la peine d'effectuer une évaluation sérieuse des risques et d'investir dans la classification et le chiffrement des données les plus sensibles.
2/ Tirer profit de techniques de virtualisation de documents, chiffrement, fragmentation et de stockage distribué, y compris mais pas exclusivement sur des clouds publics. Une telle approche permet de résister aux piratages classiques mais également de faire face au risque de surveillance gouvernementale et d'espionnage étatique. En effet, si vous conservez ne serait-ce qu'une partie mineure des fragments dans une solution de stockage de confiance, reconstituer vos données dans leur intégralité à votre insu s'avèrera quasiment impossible. Combinée au chiffrement, cette option offre un rempart contre le risque de décryptage par ordinateur quantique.
3/ Utiliser des outils de sécurité conçus en Europe, en particulier pour sécuriser les applications et les données déployées dans des clouds publics. Privilégier les outils compatibles avec de multiples plateformes cloud, de façon à ne pas être prisonnier des évolutions futures des politiques de prix ou de confidentialité de vos fournisseurs non européens. Choisir des outils vous permettant de garder le contrôle des clés nécessaires au chiffrement de vos données les plus sensibles, sans devoir confier ces clés à votre fournisseur de services cloud pour l'indexation, la recherche et la collaboration. Choisir enfin des outils conçus par des fournisseurs européens, attachés au respect d'une politique de transparence et approuvés par les autorités nationales de sécurité en Europe. Des outils qui vous permettent d'optimiser les coûts de vos infrastructures en exploitant la même logique applicative au niveau global, tout en veillant à ce que vos données soient stockées et consultées conformément aux réglementations locales mais aussi à vos propres exigences opérationnelles.
L'industrie européenne de la cybersécurité est solide, avec des fournisseurs innovants, grands et petits, bénéficiant du soutien des agences européennes et nationales de cybersécurité. La France est en pointe dans ce domaine. Si votre cloud sera probablement non européen, il n'y a pas de raison que votre sécurité le soit. En tant qu'Européens, nous pouvons et devons faire en sorte que nos données demeurent un atout stratégique, sur lequel nous pouvons compter pour assurer la pérennité de notre économie, de notre modèle de société. Le moment est venu de prendre les bonnes décisions et de garder le contrôle de nos données. N'ayons pas peur d'affirmer nos droits et de défendre nos intérêts face à la concurrence dans la compétition mondiale. Si les données sont la monnaie de l'ère numérique, sécurisons-les.
Suivez-nous