Les outils des géants du cloud pour se conformer au RGPD
L'entrée en vigueur du Règlement général européen sur la protection des données (RGPD) le 25 mai 2018 remet sur le devant de la scène l'enjeu de la data gouvernance. Gérer le consentement des clients quant à l'usage de leurs informations personnelles, sécuriser et tracer ces dernières, respecter le droit à l'oubli... L'ensemble des obligations qu'il introduit impliquent la mise en place de nouveaux process de pilotage des contenus au sein des systèmes informatiques. Et les applications mises en œuvre sur des cloud publics n'y échappent pas. Au-delà de la conformité des fournisseurs de cloud au RGPD (ces derniers devant notamment être capables d'indiquer aux entreprises où se trouvent précisément les données qu'ils hébergent), se pose également la délicate question de l'outillage qu'ils proposent sur le front du data management.
| Amazon Web Services | Orange Flexible Engine | Google Cloud Platform | IBM Cloud | Microsoft Azure | |
|---|---|---|---|---|---|
| Catalogue de données | AWS Glue Data Catalog | Non (mais déploiement de Data Insight de Veritas à la demande) | Non | IBM Watson Catalog | Azure Data Catalog |
| Identification des données personnelles via l'IA | Amazon Macie | Non (mais déploiement de Data Insight de Veritas à la demande) | Non (pas de service SaaS, mais une API disponible) | IBM Watson Knowledge Catalog | Non |
| Services cloud ad hoc de management de la conformité RGPD | Non | Non | Non | Non | Oui |
Note : A notre connaissance, OVH et Scaleway (groupe Iliad) ne proposent pas, pour l'heure, de services cloud managés dans la data gouvernance. Sollicités, ils n'ont pas répondu à nos questions.
Sur le front des applications cloud de data management, Amazon Web Services (AWS) et IBM affichent pour l'heure une longueur d'avance. Le premier commercialise un service cloud baptisé Macie taillé pour adresser la problématique. Il fait appel au machine learning pour classer automatiquement les contenus stockés sur AWS et identifier ceux qui contiennent des données de propriété intellectuelle ou à caractère personnel (état civil, adresses, coordonnées bancaires…). Cette brique serait même capable de surveiller en temps réel l'activité liée aux data, détecter les anomalies, connexions non-autorisées et fuites d'informations. En aval, un autre outil (AWS Glue Data Catalog) pourra, lui, cataloguer les données privées en fonction de leur niveau de criticité.
De son côté, IBM met en avant Watson Knowledge Catalog. Reposant sur la plateforme cloud d'IA du même nom, ce composant fait lui-aussi appel à l'apprentissage machine pour détecter les données critiques, qu'elles soient hébergées sur le cloud de Big Blue ou sur un système informatique interne. Grâce à la couche de NLU (pour Natural Language Understanding) de Watson, "il est capable de détecter à l'intérieur des documents et espaces de stockage les informations personnelles identifiables ou sensibles, ou encore les données confidentielles", précise-t-on chez IBM. A la manière de Glue Data Catalog, Watson Knowledge Catalog gère également le catalogage des data et l'application à ces dernières, de manière manuelle ou automatique, des politiques de restriction adaptées.
"Aujourd'hui, les clouds de Google et de Microsoft n'ont pas de dispositifs aussi poussés", pointe Bachar Wehbi, computer science manager au sein de l'équipe solution et innovation du cabinet français Keyrus. S'il n'offre pas de service dans la data discovery, le premier a néanmoins bâti une API pour détecter et classer les données personnelles. En parallèle d'un guide d'accompagnement, Google renvoie en outre à un ensemble de briques cloud de sa plateforme "pouvant aider à établir un plan de conformité RGPD". Quant à Microsoft, il dispose comme Amazon d'une application cloud de data catalog, mais sans mécanisme d'IA. Un service auquel il a adjoint récemment un portail spécial RGPD, baptisé Azure Data Subject Request, permettant à ses clients de gérer les demandes qui leur sont faites en matière de données personnelles hébergées chez lui : demandes d'accès, de rectification, de suppression…. En parallèle, l'éditeur américain a doté son outil SaaS de gestion des projets de mise en conformité (Azure Compliance Manager) d'un tableau de bord spécifique pour piloter les chantiers liés au RGPD.
Orange : entre outillage et accompagnement
"Il faut avant tout considérer les services cloud de data management comme une aide en vue de s'aligner sur le RGPD et pas des services out of the box", prévient Bachar Wehbi. Une vision à laquelle Orange Business Services adhère pleinement. Certes, l'ESN française filiale d'Orange ne propose pas, du moins pour l'heure, d'applications de data management packagées sur son cloud phare Flexible Engine. "Mais nous avons monté une offre d'accompagnement dans l'optique de l'entrée en vigueur du RGPD. Et dans le cadre de cette prestation, nous déployons à la demande des solutions de data gouvernance sur Flexible Engine", précise Cédric Prévost. Le directeur de la sécurité d'Orange Cloud for Business (l'entité cloud de l'ESN) évoque notamment le logiciel Data Insight de Veritas. Faisant là encore appel au machine learning, il est taillé pour cartographier les contenus stockés, notamment les données à caractère personnel, et analyser les fréquences et éventuelles anomalies d'accès.
"Nos équipes interviennent notamment pour décrypter ces rapports, et dans la définition ensuite des plans d'actions à mettre en place pour aboutir à la compliance", ajoute Cédric Prévost. En aval, dans l'optique de superviser en temps réel la conformité des accès aux règles de sécurité établies, c'est la technologie Varonis qui est déployée par l'ESN sur Flexible Engine.