Les cinquante dernières années environ ont été fortement marquées par des avancées technologiques rapides, et un peu plus récemment, par l'internet. L'impact de ces percées sur notre vie quotidienne est extraordinaire. Imaginez qu'au cours des années 1970, les ordinateurs et l'internet n'étaient utilisés que par les institutions gouvernementales. Il n'y avait pas de télévision à la demande ou de messagerie instantanée - les gens devaient suivre le programme télévisé dans les journaux et devaient soit passer un coup de fil, soit se rencontrer personnellement pour parler de leur journée.
Avance rapide de 20 ans - nous sommes maintenant dans les années 90 - la commercialisation officielle de l'internet et de l'ordinateur privé. Nous sommes encore loin de ce que nous avons aujourd'hui : les PC avaient une puissance de calcul inférieure à celle du tout premier iPhone, l'internet vous offrait des vitesses de téléchargement époustouflantes allant jusqu'à environ 5 kilo-octets par seconde et si vous n'aviez pas la chance d'avoir une coûteuse connexion RNIS, vous n'aviez pas le luxe de surfer et d'utiliser votre téléphone en même temps.
Plus de 30 ans se sont écoulés depuis. Nos appareils sont surpuissants, nos connexions internet sont rapides comme l'éclair, et tout cela à des prix que presque tout le monde peut se permettre. Cela a conduit l'humanité à être connectée plus que jamais - malgré une liberté sans fin - mais sans tenir compte de l'impact que cela a sur nos vies privées et sur la sécurité de nos identités numériques. Comment s'assurer que vos données vous appartiennent dans un monde où tout va si vite ?
Quelle est la différence entre la sécurité des données et la souveraineté des données ?
Pour aborder efficacement les thèmes de la sécurité, de l'intégrité et de la souveraineté des données, il convient d'abord de définir la signification de cette terminologie en termes simples.
Sécurité des données est la procédure par laquelle on s'assure que les données sont protégées contre l'accès, la manipulation ou la corruption par du personnel ou des applications non autorisés pendant leur durée de vie. Elle comprend des activités telles que le cryptage et le hachage des données.
Intégrité des données ou souvent aussi appelée qualité des données, indique le degré de cohérence et d'intégrité d'un ensemble de données, indépendamment de l'endroit et de la manière dont elles sont stockées.
Souveraineté des données veille à ce que vos données soient toujours soumises aux seules lois du pays dans lequel il se trouve.
Maintenant que nous avons abordé les principes de base et que vous avez (espérons-le) compris les nuances, examinons en profondeur pourquoi c'est important. Même si nous ne l'avons pas toujours en tête, nous souhaitons, au moins inconsciemment, que nos données privées soient sécurisées et rangées derrière des murs impénétrables. Entre les comptes de médias sociaux, les boutiques en ligne dans lesquelles nous avons enregistré nos données de paiement pour un traitement plus rapide des transactions ou le sweepstake occasionnel auquel nous avons partagé notre adresse personnelle au cas où nous gagnerions quelque chose, nous avons tendance à oublier à quel point cela pourrait être compromettant pour nous.
Même si nous ne sommes pas directement victimes d'une importante faille de sécurité, telle que la Faille de sécurité de Yahoo en 2013Au cours de cette période, 3 milliards de comptes ont été compromis. Les données que nous partageons volontairement avec les plateformes que nous utilisons sont souvent partagées ou vendues à des tiers. Ces données partagées sont généralement anonymisées mais, dans certains cas, elles ne le sont pas, ce qui en fait une danse avec le diable.
Quels sont les dangers d'une mauvaise manipulation ou d'une corruption des données ?
Heureusement pour vous, il y a eu un sommet de leaders en matière de sécurité et de souveraineté des données dont l'objectif était de discuter de certains des sujets que nous abordons dans cet article. Lors de l'entretien enregistré, les responsables du cloud de NXO, OVHcloud and Alcatel-Lucent Enterprise se sont réunis pour répondre aux questions sur ce qu'il est important de prendre en compte si nous voulons garantir une souveraineté totale et transparente des données.
Sylvain Rouri, Directeur des ventes chez OVHclouda bien résumé la situation en comparant les données à un vélo verrouillé : "Le cryptage est juste le cadenas sur votre vélo. Il n'empêche pas le vélo d'être volé". Il a également indiqué très clairement que la véritable souveraineté des données ne peut être atteinte que lorsque nous connaissons et comprenons toutes les couches. Nous devons soulever des questions telles que "Qui traite les données ?", "Où sont stockées les données ?" et "Comment sont gérées les données ?". Si ces questions ne reçoivent pas de réponses claires, il faut y voir un signal d'alarme.
Les dangers d'une mauvaise manipulation, d'une fuite ou d'une corruption des données d'autrui ne se limitent pas aux seules répercussions juridiques. Aujourd'hui, le danger le plus important réside dans les atteintes à la réputation qui accompagnent les violations de données. Le meilleur exemple en est l'affaire violation de sécurité subie par Target. La mise en péril d'environ 40 millions de cartes de crédit et de débit a entraîné la perte d'emploi de milliers d'employés et une baisse monumentale des ventes. Il leur a fallu des années pour réparer les dégâts.
Le cryptage est juste le cadenas sur votre vélo. Il n'empêche pas le vélo d'être volé.
Les 3 défis d'une véritable souveraineté des données
Moussa Zaghdoud, EVP de la division Cloud Communications Business chez Alcatel-Lucent EnterpriseSelon lui, si vous communiquez, vous échangez des données. M. Rouri et lui s'accordent également à dire que très peu de certifications existantes réglementent et garantissent réellement la souveraineté des données. La France montre l'exemple avec le Certification ANSSI SecNumCloud. Bien que de nombreux efforts soient déployés pour synchroniser les certificats entre les pays européens, il manque toujours une certification centralisée qui garantisse la souveraineté des données au niveau européen.
En tant que fournisseurs de solutions, nous devons acquérir les différentes certifications dans chaque pays pour réussir à faire des affaires. Nous continuerons à acquérir des certifications primordiales en donnant la priorité à nos principaux marchés, même si nous préférerions une certification valable dans la plupart, voire la totalité, des pays européens.
Il souligne que lorsqu'ils essaient de se conformer à toutes les réglementations nécessaires, les fournisseurs sont confrontés à trois grands défis. Le premier est de toujours s'assurer que le fournisseur utilise les meilleurs mécanismes de cryptage et une technologie de pointe. Le deuxième est de s'assurer que les données sont totalement sécurisées, quel que soit l'endroit où elles se trouvent ou l'endroit où elles sont consultées. Et le dernier défi, peut-être le plus important, qu'il a identifié est de conserver une expérience utilisateur fluide et intuitive tout en essayant de se conformer à toutes les réglementations.
La réponse semble être de comprendre quelles sont les couches d'une véritable solution souveraine et comment elles s'assemblent toutes. En partant de la base, l'infrastructure doit être conforme à toutes les réglementations et normes locales et internationales. Si vous disposez d'une base solide, vous pouvez commencer à construire votre solution sur cette base. La solution que vous construisez doit alors répondre à toutes les normes de sécurité en termes de cryptage, de technologie et d'interconnectivité. Les données doivent être protégées non seulement lorsqu'elles sont stockées, mais aussi lorsqu'elles sont en transit. La dernière pièce du puzzle est constituée par les intégrateurs au niveau du client. Ils doivent s'assurer que les données sont protégées de leur côté, réglementer comment et si elles sont partagées avec des tiers et que la solution est déployée correctement.
La confiance et l'expertise comme fondement de la souveraineté des données
Chaque nouvelle méthode et technologie de cryptage entraîne la nécessité d'adapter les réglementations et les lois existantes. Dans certains cas, ces ajustements sont mineurs et facilement exécutables, tandis que dans d'autres, le changement de technologie peut entraîner l'obsolescence complète des règles et des lois antérieures. Ce dernier cas a un impact déconcertant sur les trois couches - infrastructure, solution et déploiement. François Guiraud, Responsable du développement commercial et de la transformation numérique chez NXO FranceSelon l'expert de la Commission européenne, les fournisseurs de services et les intégrateurs sont les plus proches du client. Ils doivent travailler dur pour gagner des récompenses et se positionner comme des conseillers de confiance.
La confiance et l'expertise sont les fondements mêmes des relations durables et fructueuses avec les clients.
Il s'agit d'une guerre d'usure constante pour garder une longueur d'avance sur les tendances et les technologies en constante évolution, en trouvant toujours un équilibre entre ce qui est nouveau et ce qui est bien établi. Alors que les pays connaissent un réveil technologique brutal et que les anciennes lois s'effondrent face aux cybermenaces et aux failles de sécurité, les législateurs élaborent de nouvelles réglementations pour tenir compte de l'état de droit. Ces réglementations sont ensuite largement normalisées, donnant naissance à des auditeurs qui ont le pouvoir de délivrer ou de refuser des certifications. Tant que cela est contrôlable par les autorités locales, nous pouvons déterminer la souveraineté des données. La véritable confusion commence lorsque nous commençons à déployer des solutions provenant de fournisseurs du monde entier, ou plus précisément, lorsque nous utilisons des solutions gérées par des entreprises basées aux États-Unis en Europe.
Comment la loi CLOUD met en danger la sécurité et l'intégrité des données
Ce qui peut sembler inoffensif à première vue peut se révéler être une grave atteinte à la souveraineté et à l'intégrité des données. En 2001, le gouvernement américain a promulgué une loi antiterroriste appelée la Patriot Act. Cette loi donne au gouvernement américain le pouvoir d'imposer l'accès à toute donnée stockée sur le territoire américain. Il serait assez facile de s'y opposer en hébergeant les données dans un autre pays, si ce n'était de l'extension gênante de son champ d'application via la loi sur la protection des données. Loi CLOUD. Cet accord a été promulgué en 2018, étendant le Patriot Act des seuls États-Unis à une portée mondiale si l'entreprise qui traite les données a un siège aux États-Unis. Cela signifie essentiellement que, où que soient stockées vos données, si elles sont gérées par une entreprise basée aux USA, elles risquent d'être compromises et ne sont donc ni sûres ni souveraines.
Outre les réglementations, les lois et les percées technologiques, vous pouvez également vous retrouver dans la ligne de mire de développements mondiaux inattendus, de crises ou d'effondrements de marchés. Lorsque des conflits entre pays voient le jour, le risque de sanctions imprévues peut entraîner des dommages collatéraux, voire infliger de graves blessures à votre organisation. M. Rouri, d'OVHcloud, a résumé l'essence même de cette situation en déclarant : "Vous ne pouvez obtenir une confiance totale qu'en comprenant parfaitement toutes les couches. Si ce n'est pas le cas, vous ne pouvez pas redéployer, protéger, faire évoluer ou revenir en arrière. Vous êtes fondamentalement prisonnier de la solution que vous avez choisie."
En résumé, si vous voulez vraiment vous assurer que vos données sont sécurisées, souveraines et non altérées, vous devez inspecter toutes les couches de la solution que vous convoitez. Assurez-vous que tout vous est présenté de manière transparente. Couvrez tout : comment et où la solution est hébergée, qui la développe et la gère, et qui la déploiera pour vous. Limitez l'accès aux tiers et assurez-vous, lorsque l'accès doit être accordé, qu'il est crypté et sécurisé de bout en bout. Vos données vous appartiennent, mais il faut parfois savoir lire entre les lignes pour s'assurer qu'elles le restent.
Toni Galo
Responsable du marketing des produits SaaS
Toni a dix ans d'expérience dans le domaine du marketing, avec une spécialisation dans la stratégie et l'exécution du marketing de contenu. Si une grande partie de son expérience concerne le cloud et la communication, il s'est également distingué dans d'autres domaines, notamment en gérant le développement et la mise sur le marché d'applications d'informations financières et en aidant des courtiers californiens à créer des marques personnelles. Aujourd'hui, il est consultant en marketing des solutions de cloud computing pour Alcatel-Lucent Enterprise, et veille à l'excellence du contenu entre les divisions à l'échelle mondiale.