Le terme de cloud computing désigne les services numériques mis à disposition à distance et à la demande de l’utilisateur. Dans le contexte mondial actuel, les services cloud sont dominés par plusieurs géants – les fameux GAFAM – qui captent 69% du marché européen à eux seuls (étude de Synergy Research Group de 2021).

Depuis plusieurs années, la France a pris un virage pour devenir une industrie de service et donc d’héberger un volume de données conséquent. Cela souligne une fois de plus à quel point la maîtrise de ces données et le cloud souverain sont essentiels pour les entreprises et les collectivités françaises. 

Or, si ces dernières choisissent de passer sur le cloud pour héberger leurs données, c’est aussi pour bénéficier d’un niveau de sécurité plus élevé que lorsque l’hébergement est réalisé en interne. Mais la souveraineté est-elle réellement un gage de sécurité ?

Attention à la notion de souveraineté 

Il existe aujourd’hui une réelle ambiguïté à propos de la notion de souveraineté. On peut facilement croire que l’hébergement des données en France garantit l’application de la loi française. Pourtant, d’un point de vue juridique, la localisation n’a pas d’impact : c’est la nationalité du prestataire qui définit à quel droit les données sont soumises.

La souveraineté est définie par trois conditions :

  1. Stocker l’ensemble de l’infrastructure et des données sur le territoire français,
  2. Un éditeur 100% français,
  3. Que le prestataire et/ou l’hébergeur – celui qui a accès aux machines et qui pilote le service – soit français également.

Dans le cas d’un cloud non-souverain, les garanties de sécurité sont déterminées par les clauses du contrat, de fait international (par exemple les éditeurs américains soumis au Cloud Act). L’entreprise cliente est de fait soumise à la loi applicable de la juridiction compétente du pays du fournisseur en question, qui ne respecte pas forcément les mêmes règles sur la protection des données. On parle d’extraterritorialité de la législation : le droit s’applique en dehors des frontières. 

Au-delà des risques d’espionnage industriel et de protectionnisme, cela induit aussi une non-maîtrise juridique. S’il est nécessaire de faire respecter certains droits contractuels, les actions en justice seront plus compliquées à mettre en œuvre à l’international. Elles le seront d’autant que le rapport de force est biaisé avec un prestataire de type GAFAM. 

Il serait alors facile d’arriver à la conclusion que le cloud souverain est la bonne réponse. Cependant, si la souveraineté amène une protection de la loi française et limite les abus, elle ne garantit en aucun cas la sécurité des données, qui dépend avant tout des mesures effectives et des engagements prévus par le fournisseur dans le contrat.

Le piège des offres souveraines low-cost

Aujourd’hui, il existe pléthore d'offres cloud souveraines très attractives en termes de prix. Ces fournisseurs peuvent-ils vraiment proposer une qualité de service égale à celle des GAFAM – qui investissent des sommes astronomiques en termes de sécurité des données – à un prix défiant toute concurrence ?

Il est nécessaire de rappeler qu’un hébergement sur le cloud, même souverain, n’implique pas forcément qu’on ne peut pas perdre ses données. 

En effet, le fournisseur peut proposer en supplément de la mise à disposition de la technologie cloud :  

  • des garanties de sécurité : assurer que les serveurs sont exempts de virus et de failles connues, 
  • de garanties de sauvegarde : duplication des données sur différents serveurs,
  • des garanties de disponibilité du service : qui nécessite entre autre des architectures performantes et redondantes,
  • et de restitution de ces données en cas de perte,

Le piège de ces offres souveraines low-costs est réel pour les TPE et PME qui n’ont pas forcément la connaissance et les compétences nécessaires pour savoir s’il est nécessaire – en lisant le contrat – de mettre en place des couches de protection supplémentaires pour assurer la sécurité dont ils ont besoin. Par exemple, la mise en place d’un CyberScore étendu à l’ensemble des logiciels du marché.

Garantir un cloud de qualité

En France, le RGPD assure la protection des données personnelles et protège indirectement les entreprises en imposant la mise en place de mesures sécuritaires. 

Afin de prévenir de mauvaises surprises, il est essentiel de s’assurer de plusieurs composantes pour garantir la sécurité de ses données lorsque l’on choisit son prestataire cloud, au-delà du fait qu’il soit souverain.

  1. Demander les certifications : réels gages de qualité, elles assurent un niveau de sécurité et une intention d’amélioration continue. Nous retiendrons les normes ISO 27001 (sécurité des systèmes d’information), ISO 9001 (qualité de la relation client) et HDS (Hébergement des Données de Santé) pour les acteurs du secteur de la santé. Les certifications doivent concerner la totalité du service : infrastructure, plateforme logicielle et équipe intervenante. Le prestataire a une obligation légale de fournir les certificats, dès que le client les demande.
  2. Vérifier les sous-traitants : encore une fois, le prestataire est tenu de communiquer la chaîne de sous-traitants si la demande en est faite. L’entreprise doit vérifier minutieusement qu’il n’y a pas d’acteur non-français : ce qui annulerait le côté souverain et donc la protection juridique française.
  3. S’assurer des engagements contractuels :  en répondant aux questions suivantes :
  • Quel est l’engagement du prestataire sur la sécurité des données ?
  • Quelles sont les pénalités prévues en cas de non-respect des engagements appliqués – la disponibilité du service par exemple ?
  • Quelle est la responsabilité du fournisseur en cas d’attaque, virus ou autre atteinte à la sécurité des données ?

Il est par ailleurs nécessaire de vérifier que la certification s’applique au produit concerné :  il s’agit là du périmètre de certification. Par exemple, la certification SecNumCloud peut s’appliquer à certains produits ou services du prestataire, mais ne garantit pas que tous les produits soient eux même certifiés.

Le respect de ces critères vous assure de vous engager auprès d’un prestataire de confiance et de vous assurer de la qualité de ses services. 


Source link