Souveraineté des données : l'angle mort dont personne ne parle

William Méauzoone
Leviia

Tout le monde parle de souveraineté. On le martèle : "Choisissez un cloud français ", " Adoptez une solution souveraine ". C'est indispensable. Mais ce n'est que la moitié du problème.

La souveraineté ne se limite pas à se protéger des lois extraterritoriales. Elle commence par une question simple, presque brutale : savez-vous, preuves à l’appui, qui accède à vos données ?

Prenons un cas concret. Vous choisissez aujourd’hui une solution de stockage cloud dite souveraine. Demain matin, un administrateur système de cette solution ouvre votre dossier client le plus sensible, le consulte pendant dix minutes, puis le télécharge. Serez-vous capable de dire qui a autorisé cet accès, quelles données ont été consultées, copiées ou exportées ? Dans la très grande majorité des cas, la réponse est non.

Ce même angle mort apparaît lors des cyberattaques. Souvenons-nous de l’attaque contre Blackbaud, qui a touché des milliers d’associations, d’universités et d’hôpitaux. Lorsque la fuite a été révélée, une question essentielle est restée sans réponse : quelles données avaient réellement été copiées ? Impossible à déterminer. Impossible de cartographier l’impact. Pourquoi ? Pas de journalisation exploitable des accès et de suivi fiable des transferts.

Contrairement à une idée largement répandue, le cloud n’enregistre pas tout. Chez de nombreux fournisseurs, les journaux d’accès, y compris les plus critiques, ne sont pas activés par défaut.  Leur durée de conservation est souvent limitée à quelques jours, parfois quelques semaines. Et lorsqu’un incident survient, ces traces sont incomplètes, inexploitables voire inexistantes.

Dans un modèle cloud fondé sur l’externalisation des données, c’est à dire déléguées à un tiers, la confiance doit être auditable. Tant qu’une organisation n’est pas capable de reconstituer précisément qui a accédé à ses données, quand et dans quelles conditions, elle ne maîtrise pas ses données. Quel que soit le pays du fournisseur, quel que soit le discours marketing.

NIS2, ou la fin de la souveraineté déclarative ? 

Entrée en vigueur fin 2022 et en cours de transposition dans les droits nationaux, la réglementation NIS2 rend les exigences de traçabilité obligatoires. Concrètement, NIS2 impose aux organisations concernées de mettre en place des mesures de sécurité pour détecter, tracer et analyser les incidents. Objectif : être capable de prouver a posteriori ce qui s’est passé, qui a accédé à quoi, quand, etc. 

Pour les organisations déjà certifiées HDS (hébergeur de données de santé), ces principes sont déjà bien connus car la traçabilité est une obligation. Mais la nouveauté majeure de NIS2 est ailleurs : elle élargit considérablement le périmètre des acteurs concernés. En effet, continuer à traiter les données de santé comme un cas à part n’est plus tenable. Données clients, financières, RH ou stratégiques peuvent tout autant être exploitées, copiées, revendues ou détournées. Dans un contexte de cybermenaces permanentes et d’externalisation massive, chaque donnée critique devrait désormais être considérée comme sensible par défaut.

Ce que l’on impose depuis longtemps aux données de santé démontre que la traçabilité exhaustive est possible. Pour plus de souveraineté sur nos données, elle doit devenir la norme pour l’ensemble des données critiques.