La transparence doit devenir le nouveau mantra des acteurs du cloud

Pour les multinationales, si le cloud offre de nombreuses opportunités, il représente également de multiples risques, dont le plus important est la question de la souveraineté de leurs données.

Dans un monde idéal, les données dans le cloud pourraient circuler librement dans le monde entier en fonction des très bons délais de latence, de la grande disponibilité et du faible coût des ressources et des exigences commerciales. Mais, nous ne vivons pas dans un monde idéal. Les entreprises opèrent dans des ensembles complexes d'exigences réglementaires qui régissent l'utilisation des données. Celles-ci diffèrent en termes de portée et d'intention selon la région géographique. Or, pour les multinationales, si le cloud offre de nombreuses opportunités, il représente également de multiples risques, dont le plus important est la question de la souveraineté de leurs données.

Souveraineté des données : "une affaire très sérieuse"

Les entreprises ont besoin de savoir sous quel ensemble de réglementations légales leurs données sont soumises, ce qui signifie qu'elles doivent pouvoir faire confiance à leur fournisseur de cloud pour comprendre les risques auxquels elles sont confrontés. La confidentialité des données est donc pour elles une préoccupation évidente. L'Europe, les États-Unis et la Chine, comme d’autres, n’ont pas la même définition de la "protection de la vie privée" et imposent des règles divergentes aux entreprises. Lors d’une récente interview, Franck DeCloquement, praticien et expert en intelligence économique et stratégique, alertait ainsi les organisations sur les risques liés à ces réglementations. Concernant le Cloud Act américain, notamment, il rappelait que cette législation, en plus de permettre aux instances judiciaires américaines de récupérer les données stockées sur des clouds américains partout dans le monde, donnait également la possibilité aux centrales de renseignement américaines de "solliciter le plus naturellement du monde auprès des opérateurs concernés, les communications personnelles d'un individu sans que celui-ci en soit informé, ni que son pays de résidence ou le pays où sont stockées ces données ne le soit également… L’affaire est donc très sérieuse."

Garder la maîtrise de ses données dans le cloud

Au-delà de la simple protection de la vie privée, les aspects juridiques de la souveraineté des données et les questions connexes peuvent avoir une incidence sur tous les services d'une entreprise : propriété intellectuelle et confidentialité des informations critiques, obligations de divulgation pour les organisations en application de la loi et du renseignement, capacité de partager les données entre les services pour en extraire la valeur maximale ou encore conservation des data. En bref, pour gérer correctement leurs données, afin d'assurer la conformité réglementaire et de limiter leur exposition légale, les entreprises doivent avoir une pleine connaissance des réglementations auxquelles sont soumis les fournisseurs de cloud et garder le contrôle sur l’endroit où sont stockées leurs données. Il leur faut également obtenir une visibilité sur la façon dont les datas sont gérées par leurs fournisseurs.

De l'importance de savoir où sont stockées ses données… Et par qui !

Bien que pour les clients la plupart des problèmes d'infrastructure sous-jacents sont pris en charge par les fournisseurs de cloud, il n'y a pas d'échappatoire au fait que chaque plateforme repose sur du matériel physique et notamment des serveurs. L'emplacement géographique des centres de données qui les hébergent, tout comme la nationalité du fournisseur de cloud, détermine le cadre réglementaire et juridique auquel les data sont soumises. Et, comme nous le rappelions précédemment, chaque nation ou communauté de pays, à ses propres règles en la matière. Ainsi, bien que nous aimerions considérer le cloud comme un centre mondial de ressources informatiques, dans les faits, les entreprises ont tout intérêt à se montrer très prudentes quant au choix de leur fournisseur. Si elles mettent en œuvre des processus visant à assurer le respect des dispositions relatives à la sécurité de leurs data et à la protection de la vie privée dans une région pour constater, au final, que leurs données sont stockées ailleurs ou pire, soumises à des réglementations permettant leur accès, les conséquences peuvent être graves.

De la boîte noire à la transparence

L'un des principaux arguments de vente des fournisseurs de clouds a été sa nature de "boîte noire". Les utilisateurs ne sont pas censés se soucier de l'infrastructure physique qui rend possible l’accès au service. En retour, ils bénéficient d'une infrastructure virtuelle flexible et évolutive. Or, cela ne convient pas à toutes les entreprises. Afin de donner à ces dernières les moyens de se sentir en confiance, les fournisseurs de cloud doivent donc faire preuve d’une totale transparence. Sur les réglementations auxquelles ils sont soumis pour commencer, afin d’apporter une réelle clairvoyance aux entreprises clientes. Mais aussi, sur leurs processus technologiques et organisationnels permettant de fournir des garanties strictes aux utilisateurs du cloud que leurs données sont bien là où ils le souhaitent. Enfin, sur leur excellence, en étant qualifiés par des autorités de sécurité comme SecNumCloud de l’ANSSI en France ou en étant intégralement certifiés par des normes internationales de sécurité telles que l’ISO 27001.

De la même façon que personne ne confierait son argent à un établissement financier sans vérifier ses qualifications ou certifications, les entreprises souhaitant héberger dans le cloud des données sensibles doivent disposer de toutes les informations nécessaires pour faire un choix éclairé. C’est également ainsi que le cloud pourra entrer pleinement dans l’ère de la confiance partagée, depuis le fournisseur jusqu’à ses utilisateurs.