Le Cloud est une avancée très utile pour décloisonner l'exploitation des données dans un contexte de mobilité croissante.
Toutefois la suspission est permise quant à "l'exploitation frauduleuse des données".
Le Directeur Général de Maiano Informatique indiquait en 2022 lors d'une vidéo conférence sur la cybersécurité "Les entreprises averties ne se demandent pas si elle seront attaquées mais quand elles le seront !"
Les affaires de rançonnage, de vol de données et de malveillance sont suffisamment fréquentes pour s'en convaincre.
Mes données vitales sont-elles entre de bonnes mains ?
Mais que veut dire "Bonnes mains" ?
Juste l'intégrité de mes données dans la durée ?
La sécurité d'accès pour éviter vol et rançon ?
ou la garantie de ne pas être sous surveillance ?
Peut-on se fier à la parole des principaux acteurs du Cloud lorsque les GAFAM promettent l'inviolabilité de leur "Fort Knox" respectif ?
Rappelons que les lois du Patriot Act autorisent en toute légalité les services de sécurité américains à accéder aux données détenues par les entreprises sans autorisation préalable. Leurs clients s’exposent donc à un potentiel risque d'observation voire d’espionnage par les états eux-mêmes.
Sans polémiquer ou verser dans le complotisme, faire confiance aux 5 ou 6 groupes qui se partagent le réseau global n'est pas une attitude responsable lorsqu'on a la responsabilité d'une entreprise. N'oublions pas que nous, les usagers, mettons tout notre patrimoine dans les mains d'entités que nous ne connaissons finalement que de nom... (Microsoft, Google, Amazon-AWS, Réseaux sociaux...). Dans quel pays sont physiquement stockés mes contrats, ma compatbilité etc ? Quelle est la législation en matière de protection des données dans cette région du monde ?
Le Delaware n'est pas la Californie, Chypre n'est pas la Suisse...
Comment sécuriser les données stratégiques
Pour simplifier je préconise principalement 2 solutions :
Number one,
le cloud souverain en "zone de confiance".
- Situé en France ou en Suisse, il est soumis aux lois locales facilement consultables en fançais.
- Grace aux certifications, par exemple : ISO 27001, PCI DSS (traitement de données bancaires) et HDS pour la sécurité des données de santé ou encore le label SecNumCloud les exigeances sur la mise en place de bonnes pratiques en matière de sécurité ont été renforcées.
Commencez par regarder les offres intégrées de TELEHOUSE (France), OVH Cloud (France) et INFOMANIAK (Suisse)
Et pourquoi pas,
le cloud souverain "propriétaire" ?
On pourra envisager pour les entreprises sensibles à la notion de "sécurité renforcée", l'intégration d'un intranet qui peut s'avérer une alternative intéressante. Celle-ci permettra notamment l'implémentation libre d'API ou d'applicatifs nécessaires à l'évolution de vos besoins.
Il faudra tout de même que le niveau de protection de l'infrastructure soit au moins équivalente aux offres des acteurs certifiés du marché, ce qui implique une étude de rentabilité.
Le coût d'une telle infrastructure est bien plus abordable qu'il n'y parait depuis que les serveurs français et suisses entre autre, ont mis en place une politique tarifaire très avantageuse sur les serveurs dédiés. De plus, les packages logiciels et suites bureautiques open source gratuites à installer sur votre serveur sont à présent disponibles.
(voir OnlyOffice ou LibreOffice Online).
Conclusion
Poursuivre votre transition digitale pour la mobilité est essentiel. Mais pas à n'importe quel prix. le vol ou la destruction du patrimoine digital n'arrive pas qu'aux autres et la survie de votre activité en dépend.
Bonne semaine
Olivier Lemoigne
Chef de projets en communication digitale