Il faut démystifier la notion de souveraineté des données !

L'accroissement de l'arsenal législatif relatif à la protection des données à l'échelle internationale constitue un vrai casse-tête pour les DPO et les DSI.

L’accroissement de l’arsenal législatif relatif à la protection des données à l’échelle internationale constitue un vrai casse-tête pour les DPO et les DSI. Le choix des fournisseurs cloud et même des architectures logicielles dépend de la conformité à ces textes. Dans un tel cadre, le cloud privé est loin d’avoir tiré sa révérence.

A partir de 2010, l'arrivée en masse des solutions SaaS et le développement des offres cloud ont poussé les entreprises à migrer de plus en plus de données et d’applications vers ce nouveau moyen de consommer l’IT. Beaucoup ont commencé par migrer des applications non critiques auprès d’un fournisseur, souvent américain, mais rapidement elles ont élargi leur stratégie à plusieurs fournisseurs. Très vite, la question de l’hébergement des données confidentielles s’est posée. Les révélations d’Edward Snowden en 2013 ont montré que toutes les données ne peuvent être confiées à un fournisseur cloud sans précautions. Rapidement, les législateurs se sont emparés du phénomène ; La France, l’Europe avec le RGPD, la Californie et son CCPA (California Consumer Privacy Act), ou encore la Chine se sont dotés de législations restrictives vis-à-vis de la protection et des échanges de données. Le niveau de complexité des cloud s’est nettement élevé du point de vue technique, mais aussi de la conformité. La bonne nouvelle, c’est qu’il est possible de gérer cette complexité et de tirer profit des promesses d’agilité et d’efficacité du cloud 

Choisir les bons fournisseurs cloud

Le choix d’un cloud provider revient à concilier trois points de vue. Celui des métiers du RSSI et du DPO. Le point de vue des experts métiers est fondamental, tout comme celui du responsable de la sécurité, le RSSI. Celui-ci doit vérifier que le prestataire a bien mis en place l'ensemble des mécanismes ou des mesures de sécurité, qu’il s’agisse de la sécurité des accès, de la sécurité physique de ses datacenters et de la sécurité logique. Mais in fine, l’avis du DPO (Data Protection Officer) reste décisif. En fonction du framework de protection des données qu’il a prédéfini, le DPO va autoriser telles ou telles données à rejoindre un hyperscaler ou imposer un fournisseurs qualifié SecNumCloud s’il s’agit d’une donnée relative à la sécurité nationale ou même interdire purement et simplement que certaines données quittent le datacenter privé de l’entreprise. Quels que soient les arguments des métiers et du RSSI, c’est le choix du DPO qui doit primer sur les deux autres car c’est lui qui est garant de la conformité de son entreprise à la réglementation.

Sécuriser les données et les accès

Dans un tel cadre, l’accès aux données doit être strictement encadré et contrôlé. Du point de vue technique, il existe des moyens pour sécuriser des contenus stockés dans le cloud public. Le chiffrement est bien entendu la technologie la plus évidente pour protéger une donnée confidentielle sur une infrastructure publique. La donnée peut être chiffrée lors de son transit, lorsqu’elle est stockée et même lorsqu’elle est traitée au moyen du chiffrement homomorphique. Cette solution est déjà mise en œuvre par les systèmes de vote électronique. Avec de tels moyens, même un gouvernement ne peut avoir accès à la donnée.

Des briques de sécurité spécifique au cloud ont émergé sur le marché, notamment les WAF (Web Applications Firewalls) et les CNAPP (Cloud-Native Application Protection Platform) afin d’évaluer la posture de sécurité de l’entreprise sur le cloud et détecter toute tentative de fuite de données. Mais quels que soient les outils mis en œuvre, un contrôle d’accès strict est nécessaire à la sécurisation des contenus sur le cloud. De nombreuses fuites de données sont simplement causées par la mauvaise configuration d’un bucket AWS. Non seulement le framework de gouvernance doit intégrer un volet contrôle d’accès sûr, mais le DPO doit mettre en place un contrôle d’accès basé sur la classification des données et la règles des 4 W, le Who, le Why, le What et le When. Une fois ces règles en place, les moyens d'accès déployés et un programme d’audit bien en place, il faut poursuivre l’effort sur tout le cycle de vie de la donnée et suivre l'évolution. La protection des données est un travail continu tout au long du cycle de vie de la donnée en question, jusqu'à son décommissionnement.

S’appuyer sur une gouvernance de la donnée robuste

La protection des données dans le Cloud n’est pas qu’une affaire de technologies. La gouvernance de la donnée joue un rôle clé dans leur protection. Là encore, la balle est dans le camp du DPO. Il définit les règles de gouvernance et s’assure que toutes les mesures définies dans la politique de gouvernance ont bien été mises en place et suivies. Dans le jargon de la cyber, c'est ce que l’on appelle le « Four Eyes Control » : celui qui contrôle ne peut être celui qui a mis en place le dispositif de protection.

Cette gouvernance est très directement dictée par la conformité aux règles auxquelles l’entreprise doit se plier. Si celle-ci traite des données de santé, en France elle devra se tourner vers des prestataires qualifiés HDS (Hébergement de données de Santé). S’il s’agit de données sensibles relatives à la défense ou au fonctionnement d’infrastructures critiques, un hébergement SecNumCloud s’impose. La sécurité de la donnée et la confidentialité des données est un second critère clé. Les données personnelles sont soumises au CCPA en Californie ou au RGPD en Europe et le règlement européen s’applique aux données des citoyens européens même si celles-ci sont hébergées en dehors du territoire européen. Dans un tel cadre, la notion de localisation de la donnée, de Data Residency, est devenue bien plus importante qu’elle pouvait l’être il y a quelques années. Avec les critères d'efficacité opérationnelle et de pertinence des offres de chaque fournisseur la conformité l’emporte.

Avec de telles contraintes, l’approche hybride reste la plus fréquemment retenue par les DSI et le cloud privé a encore un bel avenir devant lui. Certes les entreprises ont besoin des hyperscalers et d’offres cloud public performantes pour aller chercher la scalabilité et l’agilité, mais elles recherchent aussi des services cloud qualifiés lorsque la réglementation les y contraint. Enfin, elles conservent leur cloud privé pour abriter des données confidentielles liées à leur business ou à leur R&D.

Bien évidemment, lorsque l’infrastructure cloud est en place, que les moyens de protection sont opérationnels et que la gouvernance est observée par tous, un monitoring et un ajustement constant sont nécessaires et il faut entrer dans une démarche d’amélioration en continu.