L'essor des clouds souverains : quand la portabilité des données devient une priorité

La montée en puissance des clouds souverains est inévitable, en réponse aux exigences réglementaires et pressions géopolitiques qui poussent les entreprises à redéfinir l'emplacement où leurs données sont stockées.

Les environnements cloud localisés sont de plus en plus essentiels, car ils permettent aux entreprises de conserver leurs données sous des juridictions spécifiques afin d’atténuer les risques et de répondre aux exigences en termes de conformité. Néanmoins, sans portabilité des données – c’est-à-dire la facilité à transférer les données entre les différents systèmes et emplacements –, les clouds souverains ne peuvent pas fonctionner. Une chose est sûre : les entreprises modernes ne doivent pas attendre que les réglementations les poussent à agir ; elles doivent faire en sorte de toujours avoir une longueur d’avance.

En effet, les entreprises sont confrontées au fait que le transfert des données dans des environnements hybrides est loin d’être une tâche aisée. Il ne s’agit pas seulement de relocaliser les données primaires : il faut aussi les protéger tout en tenant compte des ensembles de données associés, comme les sauvegardes et les informations utilisées dans les applications d’IA. Alors que certaines entreprises pourraient se concentrer sur la protection des données d’entraînement des grands modèles de langage (LLM), de nombreuses autres se tournent plutôt vers la génération augmentée de récupération (RAG) ou vers les agents d’IA pour apporter des informations à leurs données propriétaires, sans avoir à construire des modèles à partir de zéro. Si la souveraineté des données est une approche adaptée pour faire face aux pressions auxquelles sont confrontées les entreprises aujourd’hui, il convient de toujours prioriser la résilience des données, quel que soit l’emplacement où celles-ci sont stockées.

C’est une situation fréquente : le cloud offrira aux entreprises davantage d’options et de flexibilité, mais pour en tirer le meilleur parti, elles devront toutes travailler ensemble pour adopter une approche cohérente.

Etat des lieux du cloud souverain

En réponse à la mondialisation croissante – et alors que les pays s’efforcent de mieux maîtriser leurs données –, les autorités de régulation du monde entier incitent les entreprises à considérer leurs données différemment. L’Union européenne (UE) s’est montrée particulièrement stricte à ce sujet, en introduisant notamment le règlement général de protection des données (RGPD), qui préconise la souveraineté en matière de données. En vertu de ce règlement, les lois du pays où les données sont stockées ou traitées sont désormais applicables aux données, quel que soit l’emplacement où elles ont été collectées à l’origine. Une attention particulière est également accordée à la chaîne de contrôle des données dans l’UE, puisque les directives NIS2 et DORA exigent une solide gestion des risques concernant les données, notamment lorsqu’elles sont détenues ou traitées par des tiers. 

En outre, puisque les données, y compris celles hautement sensibles et classifiées, sont de plus en plus traitées par ces tiers, principalement les fournisseurs de services cloud, le respect des lois sur la protection de la confidentialité est devenu une priorité, tant pour les entreprises que pour les gouvernements, dans la mesure où leurs données circulent au-delà des frontières.

Avec l’intensification des transferts de données entre pays et même entre continents, l’instabilité à l’échelle mondiale est devenue une réalité incontournable, particulièrement pour les gouvernements. Si certains d’entre eux ont déjà adopté des clouds souverains afin de protéger leurs données les plus sensibles d’un éventuel accès malveillant, d’autres sont allés encore plus loin ; étant donné que les services cloud dépendent entièrement de l’infrastructure des datacenters, certains gouvernements ont commencé à se défaire de leurs intérêts dans les infrastructures étrangères de cloud et de données, pour réinvestir dans leurs propres infrastructures. Ils évitent ainsi de stocker leurs données les plus sensibles auprès de fournisseurs étrangers.

Mais la souveraineté du cloud n’est pas un remède miracle pour autant. Pour ceux qui font appel à des fournisseurs multinationaux de services cloud, il est possible de déterminer l’emplacement final de stockage des données et les lois nationales qui s’y appliquent ; mais rien ne garantit qu’il n’y aura pas de changement. Le problème n’est pas seulement résolu en relocalisant les données primaires – bien sûr, elles doivent être protégées, mais il faut également tenir compte des données associées. Les sauvegardes et les ensembles de données d’entraînement des grands modèles de langage (LLM), par exemple, doivent être soigneusement pris en compte pour respecter la souveraineté des données. En parallèle, les entreprises peuvent aussi utiliser la génération augmentée de récupération (RAG) ou les agents d’IA pour mettre à niveau leurs données sans avoir à gérer de grandes quantités d’ensembles de données d’entraînement d’IA.

Une grande liberté de mouvement

Pour y parvenir, les entreprises doivent veiller à intégrer a portabilité des données dans leur stratégie de résilience – après tout, la frontière entre la protection des données et leur restriction involontaire au-delà du point d’utilisation est très mince. Si les entreprises ne sont pas en mesure d’assurer la portabilité des données, le fait de passer à un environnement de cloud hybride pour tirer à la fois parti des clouds souverains et de la localisation du stockage des données n’est évidemment pas envisageable.

Si certains fournisseurs de SaaS (Software-as-a-Service) et de DRaaS (Disaster Recovery-as-a-Service) peuvent faciliter le processus, il est important de garder à l’esprit que cette responsabilité ne peut pas être entièrement déléguée à un tiers. Les entreprises doivent toujours adopter une approche pratique, en planifiant et en gérant minutieusement le processus afin de garantir la sécurité de leurs données à chaque étape. Dans le cas contraire, elles ne pourront pas utiliser les clouds souverains pour se conformer à la myriade de réglementations relatives à la résidence et à la souveraineté des données.

Mais tout cela n’est pas sans risques. Pour les grandes entreprises multinationales qui exercent leurs activités dans plusieurs pays et sur plusieurs continents, il sera nécessaire de disposer de plusieurs environnements cloud pour héberger plusieurs clouds souverains. Cela aura pour effet d’augmenter le niveau de complexité de la surveillance et de la gestion des données dans les différentes juridictions ; il faudra non seulement prendre en compte de multiples environnements cloud, mais aussi de multiples réglementations sur les données dans les différents pays. En outre, pour les entreprises qui y parviennent, l’avantage d’une meilleure résilience des données s’accompagne toutefois d’un risque supplémentaire de fragmentation des données.

S’il n’y a pas de solution facile, il est certain que la portabilité des données sera un élément clé de toute solution retenue par les entreprises. Quelle que soit la stratégie choisie, la possibilité de transférer les données aisément entre les plateformes et les clouds s’imposera comme une nécessité pour les organisations confrontées aux enjeux de souveraineté des données. Par ailleurs, à mesure que les réglementations se succèdent, la portabilité des données permettra aux entreprises de garder une longueur d’avance sur la conformité future, en leur permettant de s’adapter plus facilement aux réglementations – contrairement à leurs homologues à la portabilité réduite.

S'appuyer sur le cloud

Aujourd’hui, la mondialisation des données ne montre aucun signe de faiblesse, puisque les flux d’informations constituent désormais une forme de commerce à part entière et génèrent même leur propre valeur économique. L’instabilité mondiale étant un facteur omniprésent, la souveraineté des données aura tôt fait de se hisser au rang de priorité absolue.

Même si les entreprises ne le réalisent pas encore pleinement, la souveraineté des données et l’efficacité opérationnelle sont étroitement liées. Pour sécuriser ses données, il est essentiel de savoir où elles sont stockées et comment elles l’ont été. Avec une compréhension globale de son paysage de données, il est ensuite possible d’identifier les opérations ou les processus où la résilience des données pourrait être défaillante et d’aborder la question de la portabilité de ses données. En repensant la résilience des données depuis le début, les entreprises peuvent intégrer la sécurité, la conformité et la souveraineté dans leurs opérations et les gérer activement par le biais d’évaluations des risques, d’audits de conformité et de stratégies qui prennent en compte de multiples fournisseurs.

Ainsi, les entreprises peuvent tirer pleinement parti des environnements de cloud hybride, en conservant par exemple leurs données les plus sensibles sur site pour se conformer aux exigences spécifiques de souveraineté des données, tout en transférant les données moins critiques vers le cloud. Toutefois, seules celles qui ont fait de la portabilité des données une priorité peuvent réellement bénéficier de cette approche. Une chose est certaine : plutôt que d’attendre que les réglementations les y obligent, les organisations doivent faire preuve de proactivité pour pouvoir tirer pleinement parti de la flexibilité, de la longévité et, surtout, de la sécurité du cloud.