Sécurité du Cloud, comment garantir la confidentialité des données ?

Selon Gartner, un tiers des organisations les plus performantes classent le Cloud dans le tiercé des priorités d'investissement. Pilier de la transformation digitale, les infrastructures Cloud permettent aux organisations de gagner en compétitivité. En effet, en s’appuyant sur cette technologie, elles bénéficient de la souplesse nécessaire pour accélérer les processus de développement d’applications, réduire le time-to-market et garantir un accès unique à des technologies innovantes. Cependant, pour garantir une bonne utilisation du Cloud, il est indispensable d’adopter un modèle « Zero trust » et de rester attentif aux enjeux de confidentialité des données stockées tout en prenant en compte les contraintes réglementaires.

En hébergeant leurs infrastructures et services dans le Cloud, les organisations font face à deux problématiques majeures en matière de sécurité. La première réside dans les contraintes réglementaires et la conformité avec les lois en vigueur. Bien qu’elles soient déployées partout dans le monde, les infrastructures des fournisseurs historiques du marché (AWS, Microsoft ou Google) restent assujetties aux lois américaines et notamment au Patriot Act et au Cloud Act. Ce dernier, voté en mars 2018, permet à la justice américaine d’accéder aux données stockées dans les infrastructures Cloud des fournisseurs américains sans en demander l’accès à leur propriétaire. En parallèle, les réglementations européennes doivent être respectées, à commencer par le Règlement Général sur la Protection des Données qui suggère le choix de fournisseurs ‘Conformes RGPD’ pour opérer leur migration dans le Cloud. Enfin, il est indispensable pour certaines entreprises issues de secteurs d’activités fortement réglementés, comme la santé ou la finance, de respecter des réglementations spécifiques. 

Au-delà des contraintes réglementaires, héberger ses infrastructures et ses services dans le Cloud implique de se prémunir face aux menaces qui ciblent cet environnement ouvert au public et donc beaucoup plus exposé que les traditionnels data centres. Ces menaces peuvent prendre plusieurs formes : fuite de données, accès malveillants ou encore APIs non sécurisées. 

Pour protéger les biens essentiels de l’entreprise (applications les plus importantes, données les plus sensibles etc.) face à ces enjeux de sécurité, il convient de ne pas faire 100% confiance aux environnements Cloud et d’adopter une approche structurée en matière de sécurité. Ce modèle « Zero Trust » implique de mettre en place une gestion des risques puis un contrôle continu et automatisé des infrastructures afin de garantir la sécurité des données, sans pour autant brider la liberté, la créativité et la vitesse d’exécution conférées par le Cloud.

Hébergées par des tiers et facilement accessibles, les infrastructures de Cloud public sont plébiscitées par beaucoup d’entreprises de par leur grande puissance de traitement et leur excellente scalabilité. Ainsi, l’application Pokemon Go, qui a connu un succès fulgurant en 2016, était hébergée sur une solution de Cloud public ce qui lui a permis de faire évoluer son infrastructure très rapidement et de manière automatique pour faire face au nombre croissant de joueurs.

La question de la sécurité a longtemps inquiété les entreprises françaises et freiné l’adoption du Cloud public dans l’Hexagone. Aujourd’hui, les acteurs du marché garantissent un niveau de sécurité satisfaisant grâce à des services et des fonctionnalités de sécurité embarqués même si certains d’entre eux restent aussi assujettis au Cloud Act. 

Il convient d’adopter une approche de sécurité basée sur l’analyse des risques, et procéder à une classification pour s’assurer de protéger les applications et les données les plus importantes en fonction du budget de l’entreprise. Les mesures de protection adéquates ainsi seront prises, comme le chiffrement des informations les plus critiques.

Pour s’assurer de protéger leurs documents et leurs données les plus sensibles, certaines entreprises préfèrent privilégier des alternatives au Cloud public.

L’une de ces alternatives réside dans le Cloud souverain, dont les infrastructures fonctionnent de la même manière que celles du Cloud public, à une exception près : la localisation géographique des données et la nationalité des fournisseurs de service Cloud. Le Cloud souverain privilégie en effet les fournisseurs nationaux dont le siège social est basé sur le territoire national. Pour le Cloud souverain Français par exemple, les infrastructures sont localisées en France. 

Ces acteurs sont assujettis à la réglementation française et les données sensibles de leurs clients sont par conséquent protégées du Cloud Act. Il s’agit alors d’une des alternatives au Cloud public permettant d’améliorer la protection des données les plus sensibles.

De plus, ces acteurs nationaux adoptent des exigences de sécurité conformes au RGPD, notamment en ce qui concerne le traitement et la protection des données personnelles. D’autre part, l’ANSSI a mis en place le référentiel SecNumCloud qui qualifie les prestataires de confiance en matière d’hébergement de données, d’applications et de systèmes d’information en évaluant leur respect des exigences de sécurité.

Si la souveraineté des données est assurée, l’offre de services des fournisseurs nationaux est parfois plus limitée en termes d’usages que celle des entreprises leaders du Cloud public. Les fournisseurs français travaillent toutefois actuellement en ce sens pour enrichir leurs prestations.