Comment appréhender la souveraineté des données sur le Cloud ?

Qu’est-ce que la souveraineté numérique ?

La souveraineté numérique est un terme apparu avec la montée en puissance d’internet. Auparavant, on parlait plus de souveraineté étatique, c’est-à-dire de la capacité d’un état à exercer son autorité sur une zone géographique et sur ses habitants. Aujourd’hui, cette souveraineté a aussi conquis la sphère numérique, se jouant quelque peu des frontières et échappant de fait au contrôle des états. Depuis quelques années, on voit donc la volonté de la création d’un Cloud souverain par certains pays ou certaines zones.

La souveraineté des données

Dans les questions liées à la souveraineté, celle des données fait couler beaucoup d’encre. Elle consiste pour les organisations à protéger la gestion de leurs données via la soumission de celles-ci aux lois du pays dans lequel elles sont hébergées.

Si elles sont stockées par exemple sur un Cloud provider français, alors elles sont soumises à la législation française et européenne. Mais si stockées sur un Cloud provider américain, elles sont soumises à la législation américaine. C’est là que la notion de souveraineté numérique devient plus difficile à appréhender.

Être souverain de ses données c’est avoir la conviction que celles-ci ne seront pas en accès libres par d’autres organisations, ou même d’autres puissances étrangères. Il y a donc une idée de contrôle de ses données de manière géographique, mais comme dit précédemment, tout dépend finalement du Cloud provider choisi. Or, c’est devenu quelque chose de difficile à mettre en place aujourd’hui, du fait déjà de la toute-puissance des Cloud providers américains, qui l’emportent sur les autres.

Mais c’est aussi de par l’absence réelle de frontière dans le Cloud et du fait que certains états en jouent. Comment alors être souverain d’un royaume sans limites ?

Tour d’horizon de ce qui existe

Législation européenne et américaine

Aujourd’hui en termes de souveraineté des données, il existe plusieurs choses mises en place. En Europe, par exemple, le RGPD (ou Règlement Général sur la Protection des Données) est en vigueur depuis 2016. Ce règlement protège les données stockées sur le territoire européen ainsi que leur accès. Aux États-Unis existe le CLOUD Act (ou Clarifying Lawful Overseas Use of Data Act), promulgué en mars 2018, qui fait la même chose, mais permet aussi au gouvernement d’accéder aux données des entreprises américaines, même hors du territoire américain.

Ces deux législations sont donc fondamentalement incompatibles.

D’ailleurs, à quoi correspond une “entreprise américaine” dans le CLOUD Act ? Entre dans cette définition toute entreprise par exemple française, basée en France, mais qui aurait une partie de ses installations hébergées sur un Cloud provider étasunien. Dès lors, elle est obligée de transmettre les données de ses clients au gouvernement américain si celui-ci en fait la demande. La souveraineté n’est donc plus européenne dans ce cas-là. Cela rentre donc en conflit avec la législation européenne qui protège les données de toutes entreprises européennes. Et si une entreprise vient à violer le RGPD, alors elle est soumise à une amende à hauteur de 4% de son chiffre d’affaires.

Mais imaginons alors que le CLOUD Act venait à être invoqué pour une entreprise en France par exemple, donc soumise au RGPD, et qu’elle transmettait ses données aux USA. Si elle venait à ne pas être ciblée par le RGPD, alors cela créerait un cas de jurisprudence : dorénavant les autres entreprises européennes ne seraient plus soumises au RGPD.

La souveraineté européenne est donc mise à mal par le CLOUD Act ce qui pousse les états européens à développer leur Cloud souverain (ie Scaleway français, Hetzner Allemand).

La création d’un « Cloud de confiance » français

En 2009, la France a l’idée d’un Cloud souverain. Développées par Orange Thalès et DS, rejoints par SFR, deux solutions sont créées. Mais 6 ans plus tard, le projet est officiellement enterré : les deux créations sont un échec pur et simple. Pourtant, en 2020, le projet GAIA-X, un cloud computing développé pour l’UE en collaboration avec l’Allemagne pour être efficace, sérurisé et compétitif, voit le jour.

Pour pallier ce projet, le gouvernement français annonce un an plus tard la création d’un label « Cloud de confiance » qui permet dans l’idée d’allier une souveraineté à la fois française et européenne, tout en pouvant profiter des technologies américaines telles que les géants AWS ou GCP. Bien que n’étant pas une solution de Cloud, ce label apporte une certaine sécurité et sérénité aux entreprises.

De ce fait, le gouvernement semble avoir compris qu’essayer de se mesurer à ces géants n’est peut-être pas une si bonne idée et a donc opté pour une solution plus mesurée : s’associer à Microsoft dans ce projet. Pour échapper au CLOUD Act, Microsoft ne serait qu’un simple fournisseur de solutions techniques et non pas un actionnaire aux commandes de ce nouveau Cloud souverain comme le sont Orange et Capgemini.

Quelles sont les solutions qui existent pour allier souveraineté des données et Cloud ?

On entend souvent les gens exprimer leurs inquiétudes face à la sécurité de leurs données sur le Cloud. Qui y a accès ? Sont-elles vraiment protégées ? Comment être sûr qu’elles ne sont pas accessibles par une tierce personne, ou par un autre état ? Pourtant, le Cloud peut être aussi sécurisé qu’une solution on-premise.

⚠ Attention toutefois : nativement, le Cloud n’est pas du tout sécurisé. Les Cloud providers pratiquent un modèle de responsabilité partagée en matière de sécurité.

La souveraineté n’est pas quelque chose d'aisé à mettre en place comme nous l’avons vu. Pour autant, cela ne veut pas dire que c’est une notion totalement incompatible avec le stockage des données sur un Cloud provider. Au contraire. Si on aborde cette problématique en adoptant le point de vue de l’entreprise, on se rend compte qu’il est possible – voire même facile - de rester maître de ses données sur le Cloud.

Plusieurs solutions existent, que ce soit en jouant sur les Cloud providers choisis pour stocker les données ou sur une partie plus technique telle que le chiffrement des données.

Le Cloud Hybrid

Le principe du Cloud hybride est de mélanger deux ou plusieurs cloud providers, mêlant du Cloud privé et public. De ce fait, vous pouvez décider de stocker les données les plus sensibles sur votre Cloud privé(on-prem) tout en ayant la souplesse et la flexibilité du Cloud public pour les autres types de données. En termes de souveraineté, cette solution permet un total contrôle sur les données identifiées comme sensibles.

Le Multi-Cloud

Faire le choix de du multi-Cloud, c’est piocher ce qui convient le mieux à votre entreprise dans chaque cloud provider. À la différence du Cloud hybride, les multi-Cloud ne mélangent que des Cloud publics.

Cette solution permet effectivement une grande flexibilité en associant des outils différents qui finissent par former un tout totalement adapté à vos besoins. De plus, avoir recours à plusieurs prestataires augmente le niveau de sécurité des données puisqu’elles ne sont pas toutes stockées via le même Cloud provider. Tout comme les Cloud hybride permettent de stocker ses données les plus sensibles sur un Cloud privé, le multi-Cloud vous donne la possibilité de stocker vos données sensibles sur un Cloud provider en France plutôt qu’aux États unis : ainsi vous n’êtes pas soumis au CLOUD Act.

Le chiffrement des données

Le chiffrement des données est une solution envisageable avant toute chose, pour pouvoir garantir la sécurité de ses données, et est plutôt complémentaire des deux autres.

Chiffrement des données en transit par SSL

Vous pouvez par exemple choisir le chiffrement des données en transit, en utilisant des protocoles comme SSL. Les données en transit sont, comme leur nom l’indique, des données qui se déplacent d’un endroit à l’autre sur un réseau. Le protocole SSL va chiffrer les données jusqu’au serveur qui les déchiffrera avant de les chiffrer à nouveau pour les envoyer au destinataire.

On trouve trois avantages à ce type de chiffrement via SSL :

• Le cryptage des données
• L’authentification qui permet aux données de transiter par et vers le bon serveur
• L’intégrité des données qui garantit aucune perte ou modification des données

Chiffrement symétrique des données stockées

Il y a aussi le chiffrement des données stockées, ou données au repos. Ces dernières sont différentes des données en transit puisqu’elles n’ont pas pour vocation à être transférées. Elles sont donc essentielles, mais restent sur un seul et même serveur, ce qui les rend potentiellement moins bien sécurisées. Généralement, c’est un chiffrement dit symétrique comme la norme AES (Advanced Encryption Standard) qui est utilisé. Avec cette méthode, une seule clé est utilisée pour chiffrer et déchiffrer les données. Cette norme est d’ailleurs la plus utilisée et la plus sûre depuis sa création.

On trouve donc deux avantages principaux à cette méthode :

• La facilité d’utilisation
• La rapidité d’utilisation

Ces deux chiffrements sont complémentaires et, dans tous les cas, il faut porter une attention particulière au stockage de la clé de chiffrement/déchiffrement. En effet, c’est le transfère de cette clé qui est le plus susceptible de démontrer une faille de sécurité.

Garantir la sécurité de ses données passe donc par deux choses : le chiffrement de ses données comme on vient de le voir, mais aussi par la choix de la souveraineté dans le Cloud.

La souveraineté des données, ainsi que son application sur le Cloud est un sujet difficile à couvrir en un seul article. La “guerre” entre les différentes législations renforce aussi la défiance que l’on peut ressentir quand on parle de souveraineté numérique. Mais réussir à rester maître de ses données est possible quand on adapte la mise en place aux besoins de l’entreprise. Et pour toutes questions concernant la sécurité de votre infrastructure, vous pouvez aussi contacter nos experts qui se feront un plaisir de vous aider !