[Tribune] Sécurité et souveraineté des données : comment trouver le juste équilibre ?

Si sécurité et souveraineté sont des mots bien souvent employés indifféremment, ils ne désignent pourtant pas la même chose et ont une portée distincte. La confusion réside très certainement dans le fait que la notion de souveraineté, aux contours juridiques mal définis, induit celle de sécurité. A l’inverse en revanche, la sécurité n’implique pas nécessairement le besoin de souveraineté. Pour saisir toutes les nuances de ce postulat, ne faut-il pas avant tout comprendre toutes les facettes que chaque dimension revêt et comment les entreprises doivent s’en emparer ? Edouard Camoin, VP Resilience d’Outscale, nous livre son analyse.

La souveraineté, une brique supplémentaire à la sécurité

Edouard Camoin - VP Resilience - Outscale

Edouard Camoin – VP Resilience – Outscale

Avec l’essor du numérique, la cybersécurité s’est dotée une dimension sociétale forte. Elle concerne désormais tout le monde et connaît plusieurs niveaux d’imbrication : individu, entreprise, administrations et État. Renvoyant à deux aspects majeurs que sont la technique (les outils/logiciels de protection) et l’organisation (rapport avec des tiers / prestataires extérieurs), elle vise généralement quatre principaux objectifs : l’intégrité (l’information ne doit pas être altérée); la disponibilité (l’information doit être continuellement disponible); la confidentialité (l’information doit être uniquement accessible aux personnes autorisées.); et enfin, la preuve/traçabilité (tous les mouvements de données doivent être tracés).*

A lire aussi : Les développeurs ont une responsabilité éthique dans la souveraineté numérique

Si aucune entreprise n’est à l’abri de cyberattaques, le choix des solutions de sécurité à adopter va varier selon qu’il s’agisse d’une entreprise dont l’activité dépend du système informatique (ex. site e-commerces, banques et assurances…) ou que celui-ci ne représente qu’un simple outil. Cela va également dépendre de l’état de sécurité souhaité en fonction du statut occupé (entreprises, institutions publiques…) et de la typologie de données à protéger (plus ou moins sensibles), en ayant bien en tête qu’il existe plusieurs types d’attaquants, du hacker isolé, jusqu’à l’acteur étatique.  Il va donc s’agir de savoir où placer le curseur. C’est à ce moment-là que la notion de souveraineté va émerger, pour que la localisation des données soit transparente et qu’elles soient protégées des lois extraterritoriales.

La gestion des risques : une réflexion de fond à avoir pour choisir sa plateforme Cloud

Dès lors que les risques portent sur des données sensibles comme celles de santé ou cibles des Etats, il est essentiel de savoir qualifier  le niveau de service nécessaire. C’est là que le référentiel “SecNumCloud” intervient. Celui-ci va en effet mêler la protection juridique à la technique. Privilégier une plateforme dotée de cette qualification assure par conséquent un haut niveau de protection aussi bien d’un point de vue organisationnel, technique que juridique : il respecte la réglementation française, tout en embarquant un certain nombre d’exigences particulières (donnée sensible et réglementée) qui rendent difficile la progression d’un attaquant. Ces protections techniques qui apportent des garanties fortes en matière de sécurité (par exemple avec la ségrégation du réseau d’administration et de la bureautique – concrètement si mon réseau bureautique venait à être compromis, mon réseau d’administration SecNumCloud ne le serait pas) impliquent toutefois un coût supplémentaire et peuvent s’avérer plus lourdes à mettre en oeuvre et à utiliser. Le choix d’une plateforme doit donc s’effectuer en fonction de la taille d’entreprise et de son appétence aux risques : on peut être une petite start-up et gérer un grand volume de données stratégiques, comme un grand groupe et n’avoir besoin que d’une plateforme avec un niveau de sécurité plus standard. Car il n’est pas si trivial que cela aujourd’hui de récupérer de la donnée. Les acteurs du numérique ont en effet commencé à implémenter dans leurs systèmes de sécurité des fonctionnalités par défaut qui complexifie la démarche de progression de l’attaquant.

Le point de départ pour permettre à tout acteur de savoir où placer son curseur en matière de sécurité informatique réside donc dans sa capacité à analyser le risque et à évaluer la nature de ses données, quelle que soit son activité. Mais attention néanmoins, la souveraineté ne doit pas être considérée comme une alternative à la sécurité. Elle doit être utilisée en complément pour renforcer la protection des données si nécessaire. Pour cela, il faut que les entreprises travaillent avec des acteurs de confiance pour gérer la sécurité et la souveraineté de leurs données de manière technique et opérationnelle en ayant une approche de gestion des risques permettant d’évaluer les menaces auxquelles elles sont confrontées.

*https://www.directioninformatique.com/blogue/avez-vous-defini-les-criteres-de-securite-de-vos-applications-web/31390