Le BYOE : un moyen de répondre aux préoccupations en matière de souveraineté des données

Il ne faut pas oublier l'importance de la sécurité corollairement à la continuité d’activité, notamment dans le cloud. Le Bring Your Own Encryption pourrait apporter une réponse à la DSI sur cette question.

Le marché de la continuité d’activité a vu le jour grâce à l’amélioration de la connectivité et des dispositifs permettant un accès facile et à moindre coût à Internet. La main-d'œuvre mobile et les attentes des utilisateurs ont créé un monde où l’accès constant aux produits et services  est devenu la norme. Par conséquent, les organisations sont maintenant confrontées à la lourde tâche de récupérer une application ou toutes les données d’un service en quelques minutes seulement – c’est ce que l’on appelle communément « la disponibilité ». Pour atteindre une plus grande vitesse de récupération et l'utilisation efficace des ressources existantes, de nombreuses entreprises se sont tournées vers des data centers modernes construits sur des technologies telles que la virtualisation, des solutions de stockage modernes et des services basés dans le cloud.

Pour autant, il ne faut pas oublier l'importance de la sécurité corollairement à la continuité d’activité, notamment dans le cloud. Le BYOE (Bring Your Own Encryption) pourrait apporter une réponse à la DSI sur cette question de sécurité.*

BYOE pour diversifier la stratégie de sauvegarde

Virtualisation, stockage moderne et cloud offrent désormais aux entreprises la possibilité de mettre en place une stratégie de continuité d’activité sur la base du 24x7x365. Les anciennes stratégies de sauvegarde ne sont plus adaptées à cette nouvelle ère et ne peuvent pas gérer ces nouvelles façons de travailler. Seules les solutions qui sont construites pour ces technologies modernes peuvent offrir la protection requise pour accompagner cette stratégie, en assurant la protection et la disponibilité nécessaires aux nouvelles charges de travail des entreprises.

Jusqu'à présent, pour une question de souveraineté des données, la majorité des décideurs refusent de se tourner vers le cloud craignant que cette migration ne leur fasse perdre le contrôle de leurs données. Toutefois, le fait que les données d'entreprise soient soumises aux lois du pays dans lequel elles se trouvent, ajoute des difficultés supplémentaires aux DSI. En France, la loi Informatique et Libertés qui veille à garantir la confidentialité des données dans la plupart des secteurs d’activité impose aux établissements un ensemble d’obligations relatives au traitement des données à caractère personnel, notamment des formalités déclaratives, des astreintes en matière de collecte, de durée de conservation et de sécurité des données. Toutes ces obligations s’appliquent dans le cadre du Cloud Computing. De plus, certaines industries, telles que la banque ou l’assurance sont soumises à des normes et des réglementations spécifiques (ITIL, CMM, ISO, Sarbanes-Oxley, Cobit, Bâle III, Solvency II…).

Le BYOE permet de se dédouaner de la question du lieu de stockage des données  puisque l'entreprise possède  sa propre clé de cryptage.

Le Bring Your Own Encryption permet, en effet, aux utilisateurs d'un service basé dans le cloud d'utiliser leur propre clé et/ou un logiciel de cryptage pour le service auquel ils ont souscrits. Cela leur garantit une couche de sécurité supplémentaire puisque l'hébergeur de ces services n’a pas accès à leurs données.

Le modèle de sécurité BYOE permet aux fournisseurs de cloud de proposer des moyens novateurs aux utilisateurs afin qu'ils aient un contrôle complet sur le cryptage de leurs données. En substance, ils peuvent utiliser leur propre logiciel de cryptage avec les applications hébergées dans le cloud, pour crypter leurs données.

Les entreprises ont donc la responsabilité de crypter les données localement avant de les stocker dans d’autres lieux. Compte tenu de la connectivité croissante et de la diversification des dispositifs utilisés par les salariés pour accéder aux données back-end d'entreprise, indépendamment du lieu, le BYOE constitue la meilleure voie vers plus de sécurité.

Il s’agit d’un excellent moyen pour diversifier la stratégie de sauvegarde d'une organisation. En effet, en plus d'avoir plusieurs lieux de sauvegarde, un localement et un en externe, le BYOE offre une protection supplémentaire pour protéger les données et par la même occasion contribue à rassurer les dirigeants.

BYOE, quelles mesures à mettre en place ? 

Pour autant, même avec un niveau de sécurité accru, cela ne signifie pas que les entreprises doivent entreprendre un exode massif et migrer leurs données vers des fournisseurs de solutions internationales. Au lieu de cela, le BYOE leur donne la souplesse nécessaire pour utiliser les fournisseurs et les prestataires cloud locaux en premier lieu, et, dans un second temps s’ils le souhaitent, des data centers offshores comme sauvegardes supplémentaires une fois les données cryptées.

Le BYOE ne signifie pas qu'il y ait une méfiance inhérente aux fournisseurs de cloud. Il permet plutôt une double sécurisation de l'information d'entreprise aussi efficacement que possible pour répondre aux exigences réglementaires.

Cependant une des plus grandes préoccupations du BYOE est : qu’arrive-t-il si la clé de cryptage est perdue ? Au même titre que dans le cas de la location d'un coffre à la banque, sans clé, vous ne serez pas en mesure d'accéder à vos informations. Après tout, le cryptage est théoriquement le point unique de défaillance qui pourrait voir toutes les données d'entreprise envolées.

Il existe néanmoins des moyens pour y remédier avec notamment une solution permettant d’intégrer nativement ces capacités de cryptage et le mécanisme capable de générer une nouvelle clé de cryptage pour l'entreprise après la vérification de certains éléments.

C’est là où entre en jeu l’importance des partenariats avec des fournisseurs et prestataires de confiance. Lorsqu’une entreprise travaille avec un fournisseur de services qui comprend ses exigences propres, la meilleure façon d'améliorer la relation est d'intégrer le BYOE. La continuité d’activité exige, en effet, un environnement propice à l'innovation et tirant parti des meilleures technologies pour les besoins de l'entreprise. A ce titre, le BYOE entre totalement dans cette approche et apporte un bénéfice pour la sécurité.