La notion de souveraineté du cloud englobe le contrôle juridique et la propriété des informations et des données au sein d’un environnement d’informatique dématérialisée.
Pour saisir l’importance cruciale de la souveraineté du cloud dans ce contexte, il est pertinent d’examiner certains incidents passés de violations de données.
#1. La faille de sécurité chez Epsilon
Le 30 mars 2011, un incident marquant s’est produit lorsque la sécurité des données a été gravement compromise chez Epsilon, un des leaders des services de marketing par courriel. Epsilon assure les campagnes de courriels de plus de 2 500 entreprises, dont certaines figurent au classement Fortune 500.
Les conséquences de cette violation ont commencé à se manifester début avril. Les clients de nombreuses entreprises du Fortune 500 ont signalé avoir reçu des courriels indésirables et des tentatives d’hameçonnage sur les adresses qu’ils avaient confiées à ces entreprises.
Le 2 avril, Epsilon a révélé la nature de l’incident. Le 30 mars 2011, une intrusion non autorisée avait été détectée dans son système de messagerie.
Cette violation de données a conduit au vol de plus de 40 millions de noms et d’adresses électroniques de clients appartenant à un ensemble d’entreprises clientes d’Epsilon. Les dommages consécutifs à cet incident ont été estimés à environ 4 milliards de dollars.
Le cas d’Epsilon n’est pas isolé. D’innombrables entreprises ont été victimes de violations coûteuses ayant entraîné la divulgation de données sensibles à des acteurs malveillants.
Imaginons à présent les conséquences d’une violation d’informations médicales, financières ou militaires. C’est une problématique que les utilisateurs de l’informatique dématérialisée doivent constamment garder à l’esprit.
La sécurité et la transparence des fournisseurs de cloud constituent une préoccupation majeure pour de nombreuses organisations, en raison du coût et des répercussions des violations de données.
#2. L’affaire du programme Prism de la NSA
Un autre événement majeur ayant suscité des inquiétudes parmi les organisations utilisant le cloud fut l’incident du programme Prism. En 2013, il a été révélé que la National Security Agency (NSA) des États-Unis, via le programme Prism, avait un accès direct aux données des utilisateurs détenues par des géants du web comme Microsoft, Yahoo, Google, Facebook et Apple. Il convient de rappeler que certaines de ces entreprises sont des fournisseurs majeurs de solutions cloud.
L’affaire Prism a permis de prendre conscience que le « nuage » n’est qu’une métaphore. Ce que l’on désigne par le terme cloud n’est autre que des centres de données soumis aux réglementations des pays où ils sont implantés.
Si une organisation a recours au cloud et que le centre de données de son fournisseur est situé dans un autre pays, des entités non autorisées pourraient accéder à ses informations en vertu des lois du pays de stockage des données.
En conséquence, la localisation des données est devenue une préoccupation croissante pour les organisations. Un rapport publié en juillet 2022 par Capgemini, une entreprise internationale de services et de conseils en technologies de l’information, a révélé que 69 % des organisations s’inquiètent de l’exposition à des lois extraterritoriales dans un environnement cloud.
De plus, le rapport, intitulé « Le voyage vers la souveraineté du cloud », a mis en évidence que 66 % des organisations, à l’échelle mondiale et dans le secteur public, considèrent les offres de centres de données locaux/régionaux proposées par les fournisseurs de cloud comme un critère de sélection essentiel.
De fait, de plus en plus d’organisations s’alarment de la possibilité d’un accès aux données par des gouvernements étrangers, en fonction de la localisation des centres de données de leur fournisseur de cloud.
Ces éléments soulignent la nécessité de la souveraineté du cloud, afin de répondre aux préoccupations d’un marché soucieux de la sécurité de ses données, de leur lieu de stockage, des personnes y ayant accès, et des diverses lois sur la confidentialité.
En Europe, en particulier, la souveraineté du cloud est un enjeu majeur pour les entreprises, en raison de la prédominance des fournisseurs de cloud américains. Une étude mondiale menée par l’International Data Corporation auprès de PDG indique que 80 % des organisations européennes considèrent la souveraineté numérique comme une priorité absolue.
Qu’est-ce que la souveraineté du cloud ?
La souveraineté du cloud repose sur le principe qu’un pays ou une région a le droit de réglementer et de superviser le stockage, le traitement et l’utilisation des données se trouvant sur son territoire.
Ainsi, la souveraineté du cloud permet de profiter des avantages de l’informatique dématérialisée tout en respectant les lois locales en matière de confidentialité et de sécurité des données. Elle tient également compte des valeurs culturelles et sociétales propres à chaque région.
Un cloud souverain garantit que les données et les métadonnées demeurent dans la région ou le pays où elles sont collectées. Il protège également les données contre tout accès non autorisé depuis l’étranger, et assure un contrôle total aux propriétaires.
Comme mentionné dans le rapport « Parcours vers la souveraineté du cloud », la souveraineté du cloud crée un environnement d’informatique dématérialisée qui est détenu, déployé, gouverné et géré localement ou régionalement au sein d’une juridiction nationale unique.
Comment réaliser la souveraineté du cloud ?
Pour qu’une solution cloud puisse prétendre à la souveraineté, les éléments suivants doivent être mis en œuvre :
Respect des lois locales sur la protection des données
De nombreux pays ont promulgué des lois qui encadrent la collecte, le traitement et l’utilisation des données de leurs citoyens. Ces lois sont souvent spécifiques à chaque pays.
Par exemple, l’Allemagne a une loi sur la protection de la vie privée qui limite le transfert de données vers des pays tiers, même si l’entreprise qui traite les données n’est pas située en Allemagne. Des pays comme la Chine et la Russie exigent que les données soient stockées sur des serveurs situés sur leur territoire.
En Europe, le Règlement Général sur la Protection des Données (RGPD) régit la protection des données et la vie privée, et encadre le transfert de données hors de l’Union européenne. Par conséquent, un cloud souverain doit impérativement respecter les lois sur la confidentialité des données en vigueur dans la région concernée.
Souveraineté des données
Pour garantir la souveraineté des données, il est nécessaire de mettre en œuvre une localisation des données. Cela signifie que les données hébergées dans le cloud doivent être stockées et traitées dans un pays ou une région spécifique, conformément aux lois locales sur la confidentialité des données.
De plus, l’accès aux données doit être limité au personnel autorisé, et les propriétaires des données doivent avoir un contrôle total sur les données stockées dans le cloud.
Contrôle et accès aux données
Un cloud souverain devrait permettre un contrôle régional complet sur la manière dont les données collectées sont stockées, traitées et partagées.
Par ailleurs, le contrôle et l’accès aux données pourraient impliquer d’autoriser les régions à accéder aux données stockées dans des centres de données locaux, et de leur conférer la capacité d’auditer, d’inspecter et d’exiger que les données des centres de données soient stockées et traitées sur leur territoire.
Un cloud est considéré comme souverain lorsqu’il assure la conformité avec les lois et les réglementations en matière de confidentialité des données d’une région, la souveraineté des données, et le contrôle et l’accès aux données.
Pourquoi les fournisseurs de cloud devraient offrir la souveraineté du cloud à leurs clients
De plus en plus d’organisations et de pays investissent dans l’informatique dématérialisée, et ce secteur devrait connaître une croissance continue dans les années à venir. Cependant, dans ce contexte de croissance, la souveraineté du cloud jouera un rôle prépondérant dans le choix des solutions cloud.
Voici quelques raisons pour lesquelles les fournisseurs de cloud devraient envisager de proposer la souveraineté du cloud à leurs clients :
- Répondre aux préoccupations des clients : à mesure que l’informatique dématérialisée se développe, les organisations et les pays s’inquiètent également de la sécurité de leurs données, du manque de contrôle sur les informations hébergées dans le cloud et de l’exposition à des lois extraterritoriales, qui pourraient permettre à des entités non autorisées d’accéder à des données sensibles. Un fournisseur de cloud proposant la souveraineté du cloud peut répondre à toutes ces préoccupations.
- Se conformer aux réglementations : différents pays et régions ont mis en place des lois sur la confidentialité des données. Les organisations qui transfèrent leurs données et leurs services vers le cloud souhaitent se conformer aux lois existantes en matière de confidentialité des données dans leur région. Ainsi, la souveraineté du cloud permettra aux fournisseurs de cloud de proposer des solutions qui permettent aux organisations de bénéficier de l’informatique dématérialisée tout en respectant la confidentialité des données de leur pays.
- S’adapter aux besoins du marché : selon le rapport de Capgemini, plus de 66 % des organisations dans le monde considèrent qu’un centre de données local ou régional constitue un critère de sélection essentiel pour une solution cloud. Par conséquent, les fournisseurs de cloud doivent proposer la souveraineté du cloud pour attirer un pourcentage important de leur marché potentiel.
- Performance et latence : en stockant les données dans un environnement cloud à proximité de leur source et de leur lieu d’utilisation, on améliore les performances et on réduit la latence. Cela est bénéfique pour les organisations et les applications qui ont besoin d’un accès rapide aux données, comme l’analyse de données.
- Sécurité et contrôle des données : la souveraineté du cloud permet aux fournisseurs de cloud de mieux assurer la sécurité et la confidentialité des données de leurs utilisateurs en limitant le stockage, le traitement et le partage des données privilégiées au pays ou à la région d’origine. Ainsi, les organisations ont la garantie d’un contrôle total et de la propriété des données. Elles peuvent éviter l’accès non autorisé aux données de leurs clients en raison des différentes lois territoriales.
- Réduction des coûts : en stockant les données à proximité de leur source et de leur lieu d’utilisation, les fournisseurs de cloud peuvent réaliser des économies sur les coûts liés au transfert de données. De plus, en se conformant aux réglementations régionales, les fournisseurs peuvent éviter des coûts supplémentaires de conformité de la part des organisations qui pourraient souhaiter des mesures de conformité supplémentaires. Enfin, certains emplacements peuvent offrir des coûts de stockage et de bande passante inférieurs pour un fournisseur.
La souveraineté du cloud est essentielle pour les gouvernements et les organisations. Elle est nécessaire pour se conformer aux réglementations des différents pays et pour permettre aux organisations d’avoir le contrôle, la propriété et la sécurité totale de leurs données.
Derniers mots
Au cours de l’année à venir, la souveraineté du cloud devrait occuper une place prépondérante dans la sélection des fournisseurs de cloud. Par conséquent, il est préférable que les fournisseurs de cloud commencent à proposer la souveraineté du cloud pour éviter d’être dépassés, de perdre des clients et de se retrouver en infraction avec la loi.
Vous pouvez ensuite consulter les plateformes d’hébergement cloud pour les startups et les grandes organisations.