La gouvernance souveraine des données sensibles : une alternative aux GAFAS ?

On se souvient en 2012 du lancement d’un cloud souverain à la française avec la création de Numergy et Cloudwatt. Trois années après, le projet a été abandonné.

 Numergy est aujourd’hui placé en procédure de sauvegarde et racheté à 100% par SFR, tandis que Cloudwatt est intégré à Orange Business Services, la division professionnelle du groupe. Aujourd’hui avec le RGPD, le Cloud Act, le scandale Cambridge Analytica, une souveraineté en matière de cloud est plus que d’actualité. 

La protection des données « sensibles » est un enjeu critique pour les entreprises et le secteur public. Le non-respect de ces nouvelles règles peut en effet entraîner des sanctions lourdes de conséquence ! En effet, la CNIL vient ainsi d’infliger mi-juin une amende record de 250 000 euros à Optical Center pour une atteinte à la sécurité des données de ses clients. Mais au-delà de la simple protection des données les plus confidentielles, les entreprises doivent également s’assurer de la « fiabilité » des entreprises  auxquelles elles ont confié ces données.

Des hébergeurs nationaux pour garantir la protection des données

Le 23 mars dernier, le Congrès américain votait le Cloud Act, c’est-à-dire le Clarifying Lawful Overseas Use of Data Act, qui facilite désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger. Désormais, la simple localisation des données ne suffit plus. C’est bien la nationalité de l’hébergeur qui compte.

Ainsi, une entreprise française qui confierait ses données les plus confidentielles à un prestataire américain même sur le sol Français se verrait soumise au Cloud Act. Une contrainte à prendre en compte alors que Microsoft vient d’ouvrir quatre centres de données en France. De plus, à l’heure où les données représentent le « nouveau pétrole », héberger ses données sensibles – véritable ADN et moteur de la croissance de l’entreprise – auprès d’un tiers non-européen peut représenter un handicap concurrentiel majeur. En effet, comment être sûr que ses données critiques ne seront pas partagées avec les entreprises locales dont certaines peuvent être un concurrent direct ? Dans un monde de plus en plus globalisé, le risque est de taille.

Le cloud souverain en réponse aux GAFAS 

Face à la croissance exponentielle des données, il y a urgence à agir. En effet, selon le livre blanc réalisé par IDC pour Seagate Data Age 2025 : The Evolution of Data to Life-Critical. Don’t Focus on Big Data ; Focus on the Data That’s Big, le volume des données dans le monde atteindra 163 zettabytes d’ici 2025, soit 10 fois la quantité créée en 2016[1]. Il est donc primordial de penser dès aujourd’hui au stockage de ses données sur un marché actuellement dominé par des acteurs non-européens.

En ce sens, le cloud souverain offre de multiples avantages car, outre la localisation des données dans le pays, il offre aussi la possibilité de choisir qui administre et gère les données stockées au niveau applicatif, infrastructures, contrat... Le cloud privé peut également s’avérer une option en cas de besoins très spécifiques de l’entreprise impliquant un contrat sur-mesure. 

Le label, gage de confidentialité et de transparence

À l’image des labels Qualité, la certification des services cloud s’impose. Une recommandation poussée entre autres par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) à travers son label SecNumCloud. L’Agence travaille même actuellement à un équivalent au niveau européen. Pour l’utilisateur, c’est la garantie d’un haut niveau de transparence et un réel gage de confiance.

Pourquoi un label ? Parce qu’il s’avère parfois difficile de savoir exactement ce qu’il advient de ses données une fois dans le cloud. Perte, vol, vente à un tiers, espionnage industriel... La transparence n’est pas toujours de mise. En septembre 2016, on apprenait ainsi la fuite de données personnelles de 500 millions de comptes Yahoo survenue fin 2014. Et en décembre 2016, la firme américaine reconnaissait avoir subi une attaque sur plus d'un milliard de comptes utilisateur en août 2013, soit plus de 3 ans auparavant ! Un manque de communication qui s’ajoute à des contrats souvent opaques. Au sein de business models reposant sur la gratuité, la data devient alors le nerf de la guerre et leur première source de rentabilité.

Avant de choisir son hébergeur, il s’avère alors indispensable de se poser la question de l’étendue exacte de son pouvoir d’action en tant qu’utilisateur, du périmètre précis couvert par le contrat ou encore des recours possibles. Mais il faut désormais faire vite car la donnée acquiert de plus en plus d’importance et recouvre des enjeux stratégiques de plus en plus forts. En cas de conflit géopolitique, tout contrat de confidentialité deviendra caduc. C’est pourquoi, les entreprises doivent dès aujourd’hui anticiper les évolutions à venir et privilégier une solution de cloud souverain.