Votre entreprise doit-elle adopter un cloud souverain ?

Sécurité des données : les principaux cyber-risques pour votre entreprise

Il existe deux familles de risques en matière de protection des données :

• Le risque de perte ou de corruption accidentelle des données

Les entreprises peuvent limiter ces incidents, à l’instar de l’incendie qui avait touché le datacenter d’OVH en 2021, en recourant à des mécanismes de sauvegarde, Plan de Reprise d’Activité (PRA) ou Plan de Continuité d’Activité (PCA).

• Les attaques cybercriminelles

Elles peuvent prendre diverses formes : ransomware, vol et revente de données... Au-delà des bonnes pratiques d’hygiène informatique qui permettent de réduire les risques, les entreprises peuvent adopter des solutions de cybersécurité disponibles sur le marché logiciel.

Les entreprises sont souvent amenées à externaliser une partie de leurs données et de leurs charges de travail dans le cloud, pour de multiples raisons : évolutivité, coûts réduits, performance, capacité d’innovation accrue… Mais le cloud comporte un autre risque, souvent sous-estimé : le recours à des technologies et des prestataires étrangers, soumis à une juridiction extra-européenne en conflit avec le RGPD (règlement général de protection des données) qui impose notamment le stockage des données dans l’espace économique européen.

Les enjeux du cloud souverain

Force est de constater que l’immense majorité des lieux de stockage et de traitement de la donnée appartient à des acteurs américains ou chinois. Et ce, quelle que soit la localisation physique des centres de données dans le monde. Ce constat pose inévitablement la question de la confidentialité des données stockées.

Certaines législations locales permettent en effet à des pays comme les États-Unis ou la Chine de s’approprier toutes les données étrangères dont le stockage est effectué par des entreprises sous leur autorité. Plusieurs lois rendent cela possible :

• Le CLOUD Act (“Clarifying Lawful Overseas Use of Data Act”)

Cet ensemble de lois créé aux Etats-Unis contraint tout organisme basé sur le sol américain ou de nationalité Américaine et basé dans n’importe quel autre pays, à fournir aux autorités américaines toutes les données d'un individu étranger dont elle dispose. Le Cloud Act s’applique par conséquent à un fournisseur de cloud américain ou étranger (par exemple Français) basé aux USA, comme à un opérateur américain basé à l’étranger (par exemple en France).

• Le FISA (« Foreign Intelligence Surveillance Act »)

Il s’agit d’une loi du Congrès des États-Unis dont la section 702 force les hébergeurs cloud opérant sur le sol américain à fournir aux services de renseignement américains les données qu'ils contrôlent, stockent ou gèrent, ainsi que les clés de chiffrement permettant leur déchiffrement, concernant les personnes à surveiller (non américaines et non résidentes aux États-Unis). La loi FISA 702 autorise également la saisie de données hébergées dans l’EEE accessibles à distance.

• La LPIP (Loi sur la Protection des Informations Personnelles)

Cette loi adoptée en Chine, en novembre 2021, indique notamment que le consentement n’est pas nécessaire lorsque le traitement est recueilli aux fins de surveillance de l’opinion publique et de protection de leurs propriétés. Par ailleurs, sa portée est extraterritoriale et étendue aux entités étrangères.

Ces lois, qui permettent à des États d’accéder à des données personnelles hors de toute procédure européenne, et sans le consentement de l’individu concerné, sont contradictoires avec le Règlement Général pour la Protection des Données (RGPD).

C’est ce qu’a notamment statué la Cour de Justice Européenne (CJUE) par son arrêt « SCHREMS II », en juillet 2020, invalidant le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield).

Au-delà des risques de surveillance de masse, ces lois extra-territoriales sont soupçonnées d’être un outil d’espionnage économique et industriel.

Le cloud souverain européen : une utopie ?

La souveraineté des données suppose la maîtrise complète de l’environnement numérique dans lequel ces données circulent et sont stockées. Ce principe exclut d’office tout recours à un acteur soumis à une juridiction extraterritoriale susceptible de compromettre la confidentialité des données.

Au-delà du problème juridique des données, les gouvernements européens cherchent à réduire leur dépendance technologique aux industries extra-européennes. Aujourd’hui, 90% des équipements des datacenters européens viennent des USA ou de Chine. Le constat est identique pour les logiciels. Cette dépendance technologique soulève également une question de souveraineté numérique.

Au sens strict, le cloud souverain européen devrait donc s’appuyer sur une infrastructure localisée en Europe, des équipements issus de l’industrie européenne, opérés par une entité européenne et sur un un catalogue de logiciels / services édités en Europe. Ce cloud souverain idéal permettrait à l’Europe de garantir sa souveraineté numérique en lui assurant la maîtrise complète de la gestion des données de ses ressortissants et de ses entreprises.

Malheureusement, l’offre technologique européenne est limitée et aucun acteur n’est en mesure d’offrir un catalogue de solutions comparable à celui des hyperscalers américains (AWS, Azure, Google Cloud…). Un tel cloud restreint ne serait donc pas compétitif.

Le initiatives pour un cloud souverain en France

En France, la recherche d’un cloud souverain mettant les données sensibles hors d’atteinte des acteurs extra-européens se concrétise dans une Stratégie Nationale pour le Cloud.

Cette stratégie de l’Etat repose sur un label « Cloud de confiance », une politique « Cloud au centre » des administrations et une politique de relance de l’industrie numérique en France. Au cœur du dispositif se trouve la qualification SecNumCloud délivrée par l’ANSSI, dont doit disposer tout cloud industriel souhaitant héberger des données qualifiées « sensibles » de l’Etat.

Afin de répondre au cahier des charges « cloud de confiance » de l’Etat français, quelques consortiums d’entreprises aux compétences complémentaires se sont créés. Leur objectif est de pallier le manque d’offre logicielle en Europe en proposant le catalogue d’un GAFAM exploité localement et hors du champ d’application des lois extraterritoriales.

Malgré leur conformité au label de l’État, le niveau réel d’indépendance de ces initiatives vis-à-vis des lois extraterritoriales est largement débattu.

Quelle approche adopter pour le cloud de votre entreprise ?

Pour la plupart des entreprises françaises, le meilleur choix est un mélange entre :

• la garantie de sécurité de leurs données
• la préservation de leur compétitivité
• la souplesse des solutions retenues
• le coût global de l’externalisation de leur système d’information

Or, la mise en place d’offres dites « cloud de confiance » ou qualifiées SecNumCloud se répercute par des prix de vente élevés.

Beaucoup d’entreprises adoptent donc pour un modèle hybride, combinant un cloud public hors de portée des acteurs extraterritoriaux, un cloud privé d’entreprise pour les applications « non cloudifiables » et le recours au large catalogue d’applications des Gafam.

Si vous optez pour cette approche pragmatique, vous devrez identifier un fournisseur de cloud public « de confiance » au sens littéral. Celui-ci doit :

• être une entité juridique européenne
• être située en Europe
• être hors de portée des lois extraterritoriales
• offrir des garanties de sécurité adaptées à vos données et charges de travail
• ne pas nécessiter le budget d’un cloud de confiance au sens de l’Etat

Cloud Agility, un cloud souverain adapté à la réalité des entreprises

Dans cette optique, SFR Business a conçu l’offre Cloud Agility. Son infrastructure est installée exclusivement en France, dans deux centres de données distants de 90 kilomètres. L’ensemble de la solution est administré de bout-en-bout par SFR.

Les deux sites ont des réseaux doublés et sont en réplication permanente de leurs ressources. Pour protéger les Data Centers Virtuels clients contre la panne d’un serveur physique ou de l’un des deux sites d’hébergement, un redémarrage des Machines Virtuelles sur le second site est possible sans nécessité de reconfiguration des réseaux et sans perte de données.

Cloud Agility renforce aussi la sécurité des données avec une micro-segmentation intra-environnement, une gestion des droits d’accès, le chiffrement des données et des politiques de sauvegarde périodique des données. L’offre est avec les différentes offres de cybersécurité de SFR : antivirus, antispam, reverse proxy, firewall…

Par ailleurs, Cloud Agility se décline en une offre de IaaS (Infrastructure as a Service) et une offre de service managé, toujours sur la même infrastructure sécurisée à haute disponibilité.

Enfin, l’offre cloud de SFR dispose de la certification ISO 27001 et de la certification Hébergeur de Données de Santé de l’ANSSI, ainsi que du label VMware Cloud Verified. La somme de ces mesures de protection fait de Cloud Agility un cloud souverain, hors de portée de toute loi extraterritoriale.

Pour protéger vos données les plus sensibles et votre propriété intellectuelle des ingérences étrangères, il est donc crucial de les stocker dans un cloud souverain à l’abri des législations extra-européennes. N’hésitez pas à nous contacter pour échanger sur vos problématiques de confidentialité de vos données.