La notion de souveraineté numérique regroupe différents aspects. Au-delà du contrôle de l’environnement numérique de l’entreprise, qu’il s’agisse de la gestion efficace des données clients et employés, des logiciels, et de l’ensemble des équipements informatiques, la souveraineté amène la question essentielle de la continuité de nos services : santé, bancaires, transports, énergie.
Pour les lecteurs de Solutions Numériques & Cybersécurité, un avis d’expert rédigé à 4 mains par Emmanuel Méthivier, catalyst chez Axway, et Christian Cagnol, Senior Sales Director chez Strategic Partners.
Comment assurer cette continuité de service à l’heure où les hyperscalers cloud sont souvent étrangers et dans un contexte géopolitique de plus en plus tendu ? L’ensemble des règlementations et directives européennes (RGPD, NIS2, DORA, EUCS, FIDA…) engage les entreprises, mais sans être pour autant une roadmap précise des démarches à suivre. La souplesse de déploiement des systèmes d’information jouera, à n’en pas douter, un rôle primordial. Face à la complexité de ces différents enjeux, quels conseils donner aux entreprises pour aborder cette délicate question ?
Un cadre réglementaire européen de plus en plus strict
La notion de confidentialité des données permet aux individus de contrôler la collecte, l’utilisation, le partage et le stockage de leurs informations personnelles, en mettant l’accent sur le contrôle individuel, le consentement et la transparence. La souveraineté des données évoque la soumission des données aux lois et structures de gouvernance du pays où elles sont collectées ou traitées, englobant la résidence des données et les exigences législatives locales. Enfin, la gouvernance des données regroupe les politiques, procédures et normes qui assurent une gestion conforme et sécurisée des données dans une organisation, garantissant leur disponibilité, intégrité et sécurité.
Depuis 2016, Bruxelles a publié plusieurs directives règlementaires engageant à plus de transparence dans le stockage et l’utilisation des data. Que ce soit le Règlement Général sur la Protection des Données (RGPD), les Directives sur la Sécurité des Réseaux et de l’Information (NIS1 et NIS2), le Digital Operational Resilience Act (DORA), la Directive sur les Services de Paiement 3 (DSP3), le Framework for Financial Data Access (FiDA) ou encore le European Union Cloud Services (EUCS) en cours de finalisation, l’Union Européenne entend renforcer le respect de la vie privé et augmenter la résilience des systèmes informatiques.
Les normes nationales (par exemple SecNumCloud en France) rajoutent également parfois un niveau de complexité supplémentaire. Et au milieu de tout cet arsenal législatif, les entreprises peinent à y voir clair.
Trouver l’architecture adaptée à la solution de gouvernance des données déployée
Alors que les entreprises adoptent le cloud pour des bénéfices de coûts, flexibilité et évolutivité, et sécurité des données, même si le on premise reste la solution la plus sûre, elles doivent prendre en compte les spécificités des trois grandes catégories de services.
Dans le cas d’un cloud public, il va être important de désigner clairement les régions spécifiques où seront stockées et traitées les données afin de garantir que les plus sensibles restent dans les limites régionales définies par les internationales de protection des données.
Le choix d’un cloud privé oblige les organisations à opter pour des déploiements Single-Tenant via un réseau global de centres de données, offrant une sécurité et un contrôle supplémentaires, particulièrement adaptés aux industries réglementées.
Enfin, la dernière option consiste à utiliser des services de cloud souverain qui appellent une collaboration avec des fournisseurs de services cloud (CSP) pour offrir des solutions de cloud souverain gérées par les clients, respectant les plus hauts niveaux de souveraineté et de contrôle des données. Cette option permet en outre de se donner les moyens de se protéger contre les lois extraterritoriales, de garantir leur conformité aux lois européennes et de se doter d’une maîtrise géographique des datas.
Conseils pratiques pour assurer la confidentialité, la gouvernance des données
et la continuité de vos services
4 angles peuvent être pris en compte en priorité pour assurer une gouvernance optimale des données dans une optique de souveraineté numérique.
Conservation et suppression des données – Pour se conformer aux exigences légales et réglementaires spécifiques, l’entreprise doit mettre en place des politiques personnalisables en matière de conservation et de suppression des données. Il est ainsi recommandé que les données soient supprimées une fois que les clients cessent d’utiliser les services d’un prestataire, ce qui aide à prévenir tout accès non autorisé ou toute violation de données.
On recommandera alors de mettre en œuvre des politiques de rétention des données flexibles pouvant être adaptées en fonction des besoins des clients, assurant ainsi la conformité avec des réglementations telles que le RGPD.
Par l’installation de politiques de suppression des données personnalisables, les organisations vont pouvoir gérer les données selon leurs exigences spécifiques, renforçant ainsi la confidentialité et la sécurité des données.
Chiffrement et stockage sécurisé – Les entreprises se doivent d’adopter une approche multi-facettes pour la sécurité, en chiffrant les données qu’elles soient en transit ou bien au repos.
Les premières sont chiffrées à l’aide de connexions TLS 1.2 ou supérieures, assurant une communication sécurisée entre les systèmes et les protégeant de toute interceptions.
Les secondes, quant à elles, sont chiffrées afin de rester protégées en cas d’accès non autorisés ou de compromission des dispositifs de stockage physique.
Le chiffrement des volumes de stockage et des snapshots de base de données ajoute une couche de sécurité utiles contre les violations de données. Enfin, la mise en place de connexions réseau privées pour isoler le trafic du réseau public renforce la protection globale des données.
Contrôle d’accès et gestion des clés – Pour garantir un contrôle d’accès maitrisée et limité aux profils autorisés, les entreprises doivent se tourner vers des solutions qui proposent l’utilisation de contrôles d’accès basés sur les rôles (RBAC) et l’authentification multifacteurs (MFA).
Grâce aux journaux d’audit qui enregistrent l’ensemble des accès et des modifications, elles assurent ainsi une traçabilité et une responsabilité dans la gestion des données.
De leurs côtés, les clés de chiffrement seront stockées de manière sécurisée et renouvelées régulièrement, tout en gardant à l’esprit que certains services doivent permettre la gestion des clés par les clients (CMK).
Contrôles physiques et rapports – L’accès physique aux centres de données doit être strictement contrôlé. Les employés autorisés – et les visiteurs – doivent s’authentifier pour accéder aux locaux. Ces derniers seront, en plus, constamment escortés par un membre du personnel autorisé.
Pour les éléments hébergés chez un fournisseur de services cloud de confiance, l’accès aux centres de données sera restreint aux employés et contractuels ayant un besoin légitime. Ces événements devront alors figurer dans des tableaux de bord d’utilisation et des rapports d’accès utilisateur.
Cette traçabilité est indispensable pour aider les entreprises à répondre aux exigences de conformité en matière de suivi des changements et des accès aux actifs.
Pour garantir la mise en œuvre d’une stratégie de souveraineté numérique efficace et éprouvée, les entreprises ont besoin de solutions de gouvernance des données sécurisées, qui soient conformes et flexibles, et adaptées aux besoins variés des entreprises, tout en garantissant la protection des données et la confiance de leurs clients.
En s’appuyant sur une infrastructure Cloud capable de répondre aux exigences locales de souveraineté des données, elles se donnent ainsi les moyens de se protéger contre les lois extraterritoriales, de garantir leur conformité aux lois européennes et de se doter d’une maîtrise géographique des données par l’utilisation de centres de données européens.
Aussi contraignantes que soient ces mesures, elles permettent à l’entreprise de garantir finalement la sécurité des données et la continuité de ses services.
