Sécurité et confidentialité des données Les entreprises méritent mieux que la peur

“Tout est bruit pour qui a peur” écrivait Sophocle il y a plus de 2500 ans. A l’aube des 2020s, ce constat philosophique s’applique à l’évidence toujours à la sécurité informatique et à la confidentialité des données.

Les entreprises méritent bien mieux que du bruit : les faits, la transparence et l’accès aux technologies qui leur permettent de contrôler leurs données sont plus efficaces pour avancer sur ces sujets régaliens de l’IT et tirer pleinement parti de leur valeur, en confiance.

La réalité encadrée plutôt que fantasmée - Au delà des cyberattaques bien réelles et documentées, la peur concernant les données des entreprises se concentre sur le CLOUD Act, une peur bien souvent attisée par de nombreux commentateurs en dépit d’une réalité bien plus nuancée.  Ce cadre législatif (qui, au passage, concerne l’ensemble des activités liées aux données et non uniquement le cloud computing), conserve de nombreux gardes fous dont il est trop souvent fait abstraction. Si le CLOUD Act a une application extra-territoriale, il est par ailleurs en passe de trouver son pendant législatif au niveau européen avec le projet de règlement e-Evidence, lequel semble aligner les approches EU/US sur la question fondamentale des demandes gouvernementales d’accès transfrontaliers aux données. Le CLOUD act émane par ailleurs d’un état démocratique où la séparation des pouvoirs est clairement établie et scrutée, et requiert une compréhension rigoureuse du cadre juridique qu’il est venu amender. La structure juridique qu’il propose est clairement définie et contrôlée pour une collaboration entre états encadrée lors d’enquêtes criminelles, qui tient compte d’une réalité technologique :  la résidence et la duplication des données en différents points du globe, dont chacun(e), entreprises comme citoyens, bénéficie en termes de rapidité et de sécurité d’accès à ses données. Au delà des postures, il incombe aux fournisseurs informatiques d’être transparents dans les actes, performantes dans les technologies et de permettre à chacun(e) de contrôler ses propres données. 

Contre la peur, une nécessaire transparence, élément clé de confiance, doit s’exercer à différents niveaux. Il revient tout d’abord au secteur de rendre publics les processus de communication des données à un ou des tiers sur demande judiciaire, et de s’assurer que ce processus est bien conforme aux dispositions législatives et réglementaires à la fois américaines et européennes. Au-delà de ces mécanismes, ces mêmes fournisseurs doivent pouvoir communiquer régulièrement et en toute transparence le nombre, la fréquence et l’origine de ces demandes. Enfin, l’établissement de règles contractuelles les plus claires et les plus strictes sur la sécurité et la confidentialité des données, en obligeant chaque interlocuteur, est également un facteur clé de transparence. Enfin, et c’est un élément de progrès, cette même confiance se trouverait encore renforcée à travers une information directe entre les entreprises et les autorités, que celles-ci soient nationales ou étrangères, qui pourraient expliquer quand, comment et pourquoi elles demandent un accès aux données. 

La peur doit également être combattue par une utilisation pertinente de technologies adequates. Quand on pense valorisation des données, on parle de, et on agit bien sûr pour leur intégrité et sur la rapidité d’accès et d’utilisation par ses propriétaires. On doit en outre en assurer la protection contre les cyber-attaques, qu’elles soient externes ou internes, ce que la conformité au RGPD laisse supposer. Si cette cybersécurité est la responsabilité de l’entreprise vis à vis de ses différents publics, il appartient néanmoins aux acteurs technologiques de proposer le meilleur des technologies : intelligence des menaces et protection contre celles-ci, protection des identités et contre les pertes de données et bien entendu chiffrement complet de ces dernières, qu’elles soient au repos ou en transit. L’utilisation de ces technologies peut du reste faire l’objet d’un engagement contractuel, tout comme devrait l’être le fait de ne permettre aucun accès tiers, par aucune porte dérobée. Cette obligation contractuelle vient renforcer l’engagement et la confiance entre l’entreprise et son fournisseur. 

Plus de contrôle et de visibilité, moins de peur -  L’inconnu et l’invisible sont sources de peurs, dans notre quotidien tout comme pour nos données. C’est compréhensible, et pourtant cela peut se gérer de façon concrète et rationnelle. L’entreprise doit pouvoir contrôler et décider qui, sur demande extérieure, peut avoir accès à ses données, que celles-ci soient chiffrées ou non. L’entreprise doit également pouvoir avoir une totale visibilité sur les flux de ses données, pour des raisons évidentes de performance, mais également de détection des menaces. Cette visibilité doit également rejoindre le contrôle exercé sur l’accès aux données, de l’interne, du fournisseur certifié pour des raisons clairement stipulées ou de l’externe.  Il incombe aux acteurs IT de donner les clés à l’entreprise et de proposer tous les moyens technologiques et méthodologiques permettant à celle-ci de garder la main (ou le clavier !) sur ces données.



La peur est, on le sait, bien mauvaise conseillère. Les bénéfices apportées par les technologies, notamment celles du Cloud, et de la gestion “intelligente” des données sont beaucoup trop critiques aux entreprises pour qu’elles ne se laissent pas ralentir par une peur irrationnelle. Contre celle-ci et surtout pour une utilisation et une valorisation intelligentes et souveraines des données, des moyens réglementaires et technologiques existent et sont en cours de développement, qui permettent une sécurité et un contrôle renforcés. A chacun(e) de les proposer, les utiliser et les appliquer pour permettre une innovation confiante.