Votre cloud c’est votre patrimoine informationnel et technique, ne négligez pas les risques de l’externalisation à l’étranger
Tout d’abord, identifions de quoi nous parlons ! Le Cloud en terme anglophone, ou le Nuage si nous le rebasculons en français, car il s’agit bien de cela dont nous allons parler…
Qu’est-ce que le Nuage (oui nous sommes chauvin chez Nobelia) ?
L’information en nuage ou cloud computing c’est un « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’Internet, sous la forme de services fournis par un prestataire ».
Les données hébergées dans le Cloud sont traitées au sein de centres de données ou « data centers ».
Un data center est un centre d’hébergement et de traitement de données à distance abritant de nombreux serveurs et équipements informatiques, tout en garantissant une sécurité physique et une continuité d’activité.
Pourquoi faire ? Ces services permettent aux entreprises de bénéficier de solutions d’hébergement ou de traitement de données souples, évolutives, faciles d’emploi et accessibles en tout point du globe. Toutefois la localisation exacte des données est difficile à connaître car ces dernières sont réparties dans plusieurs centres géographiques distincts, on en vient à notre problématique…
Savez-vous qui sont les géants du marché ?
Eh bien le marché mondial du stockage en ligne de données est détenu à 65 % par Amazon, 15 % par Microsoft et 5 % par Google. La mainmise des entreprises américaines comme les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) sur la collecte des données personnelles ne fait aucun doute.
Vous êtes chez qui déjà ?
Quels risques pour les données des entreprises ?
La gestion de ces systèmes d’information peut entraîner d’importants risques pour la sécurité des données stratégiques des entreprises françaises. Les données peuvent faire l’objet d’interceptions ou de captations à tout moment, au cours de leur acheminement sur Internet, durant leur stockage sur des serveurs à distance, lors du transfert au sein d’un autre centre de données, etc.
Les serveurs de centres d’hébergement situés à l’étranger sont soumis à la réglementation locale ou, parfois-même, à la réglementation des États dont dépendent les fournisseurs qui les administrent.
Quels sont les risques en cas de serveurs de données basés à l’étranger ?
Certains États utilisent une définition large des enjeux de sécurité nationale. Ils prévoient ainsi la possibilité d’accéder aux données de clients étrangers hébergées sur leur territoire par des prestataires locaux.
Cette captation d’information ne concerne pas que la lutte contre le terrorisme ou la criminalité organisée, les sociétés peuvent s’exposer à un risque accru d’espionnage économique de leurs données stratégiques.
Vous êtes actuellement en collaboration avec un PRESTATAIRE AMÉRICAIN ? voici quelques informations utiles
Le RGPD est entré en vigueur le 25 mai 2018 dans l’Union européenne. Le but de ce règlement général ? C’est de protéger les données personnelles des utilisateurs européens. Cependant, avec le CLOUD Act ,… petite pause explicative !
Qu’est-ce que le Cloud Act ?
Le CLOUD Act c’est l’acronyme de Clarifying Lawful Overseas Use of Data Act.). Votée en mars 2018, sur fond de litige entre le gouvernement américain et Microsoft, cette loi permet aux États-Unis d’accéder plus facilement aux données stockées sur des serveurs situés hors des États-Unis. Le CLOUD Act s’applique aux entreprises qui confient leurs données à des prestataires américains. Ce dispositif légal peut être utilisé dans deux situations.
En premier lieu, dans le cadre d’une enquête pénale, si elles ont un mandat ou par simple ordonnance d’un tribunal habilité, les forces de l’ordre américaines peuvent avoir accès à des données hébergées à l’étranger.
Les États-Unis peuvent également conclure des collaborations bilatérales avec d’autres États. Dans le cadre de ces collaborations, les autorités américaines peuvent demander l’accès aux données hébergées dans des pays étrangers par des entreprises sous la juridiction américaine.
Reprenons, les opérateurs numériques et les prestataires informatiques américains qui ont des serveurs en Europe sont désormais soumis aux juridictions américaines. C’est une fragilisation de l’application du RGPD et un frein à son efficacité.
L’impact du CLOUD Act pour les entreprises qui font appel aux hébergeurs américains peut se manifester de différentes manières. Parmi les conséquences possibles, on peut mentionner la fuite des données sensibles liées à la souveraineté nationale et la perte de la confiance du public.
Avec le CLOUD Act, la confidentialité des données stockées chez des prestataires américains n’est plus vraiment une garantie solide et cela peu importe la localisation des data centers.
Et n’oublions pas son ami, Le PATRIOT Act qui date du 26 octobre 2001. Il était à l’origine une loi d’exception qui ne devait durer que quatre ans. Mais certaines de ses dispositions ont été rendues permanentes en 2005. Eh bien cette loi donne tous simplement le droit aux agences gouvernementales américaines de farfouiller dans vos données sans avoir à vous le notifier. J’espère que vous n’avez rien à cacher !
Par conséquent, on peut bien imaginer, sans trop tirer sur la corde de la fiction, des scénarios dans lesquels des données sensibles peuvent être collectées à votre insu !
Et puis mince… ils ont quand même le monopole dans tout ça !
En 2018, un rapport inquiétant indiquait que durant les deux dernières décennies, les États-Unis ont poursuivi en justice de nombreuses entreprises européennes qui sont en concurrence directe avec des firmes américaines. Dans la majorité des cas, les poursuites et les condamnations prononcées sont à la fois contestables ou disproportionnées. Il y aurait donc une volonté réelle des États-Unis de favoriser les sociétés américaines pour mieux asseoir leur souveraineté et leur influence dans le monde.
Quand on sait que des données de secteurs sensibles comme l’industrie (automobile, aéronautique…), la défense et l’économie sont de plus en plus souvent stockées en ligne, on conclut aisément que le CLOUD Act est un outil qui ne sert pas la souveraineté d’autres pays comme la France.
Et puis on peut aussi se poser une question, que se passerait il si une crise importante survenait entre les Etats-Unis et notre Pays ? Pourrions-nous encore avoir accès à nos propres données ?
Un hébergeur français ? Le choix de la sécurité et de la sérénité
On vous dit oui, un grand oui ! Pour éviter l’ingérence des États-Unis et les risques mentionnés précédemment, choisir un hébergement français est la meilleure solution. Les avantages peuvent être résumés en deux points clés : une meilleure sécurité des données et un service après-vente plus réactif.
Les prestataires français qui ont des data-centers dans l’Hexagone ne peuvent se voir appliquer le CLOUD Act. Ils doivent seulement conformer leurs activités avec des dispositifs comme le RGPD pour offrir des services qualitatifs. Faire appel à eux est donc une option sereine pour protéger des données sensibles et personnelles. Parmi ces services d’hébergement professionnels, selon vos besoins, vous pouvez choisir des prestataires certifiés ISO 27001, PCI DSS, ou HDS comme c’est le cas de nos partenaires. En dehors des données générales, les données de santé ainsi que les données bancaires sont donc protégées.
De plus, un prestataire français offre en général un support beaucoup plus réactif, que vous ayez une simple question ou des difficultés techniques. C’est donc non seulement l’option la plus fiable, mais aussi celle qui vous offre un gain de temps considérable.
En définitive, avec le CLOUD Act, les données des entreprises hébergées dans « le Nuage » chez des prestataires américains ne sont pas forcément en de bonnes mains. Sans être un handicap, ce dispositif renforce la suprématie américaine et peut léser la souveraineté d’autres nations tout en nuisant à l’image des entreprises.
Pour assurer la protection des données sensibles dans des écosystèmes informatiques réellement sécurisés, il est préférable de choisir des hébergeurs français qui ont des data-centers tout aussi performant que nos homologues mais situés sur le territoire national soumis à la législation française. C’est une question de souveraineté numérique et de sécurité des informations personnelles des utilisateurs.
Et puis le Made in France, ce n’est pas que pour le prêt à porter
MR
