Les enjeux de souveraineté et de sécurité des données sont au cœur des préoccupations d’un nombre croissant d’organisations. « L’usage du Cloud par les acteurs que nous accompagnons a bien progressé. Si le recours à des plateformes mutualisées offre de nombreux avantages, notamment l’accès à des technologies avancées et une flexibilité accrue dans l’utilisation des ressources informatiques, il soulève de nouvelles questions relatives à la préservation des données, explique Stéphane Riegel. Alors que les tensions géopolitiques se renforcent à l’échelle globale, face à des risques d’espionnage, de vols ou encore de saisies de données par des autorités judiciaires étrangères, nos autorités nationales et européennes renforcent le cadre réglementaire dans l’optique de préserver la souveraineté numérique des entreprises européennes ou encore de protéger ses concitoyens. »

GARDER LE CONTRÔLE

Parmi les nombreux textes adoptés ces dernières années, on peut évoquer le Règlement Général sur la Protection des Données ou plus récemment le Digital Market Act, qui vise à lutter contre les pratiques anticoncurrentielles des géants d’internet sur le marché numérique européen. À cela s’ajoute le Digital Services Act, dont l’objectif est de créer un environnement en ligne plus sûr et qui vise spécifiquement à protéger les consommateurs et les PME sur Internet.

Au cœur de cet environnement, les organisations doivent mieux appréhender les risques liés à l’usage qui est fait de leurs données, au regard de ce qu’exige la réglementation, mais aussi dans une optique de renforcement de leur résilience ou de préservation de leur propriété intellectuelle.

« Si le recours aux solutions Cloud constitue un levier de compétitivité, l’enjeu pour les entreprises est de s’assurer de garder le contrôle sur leurs données exposées dans ces environnements. Il est aussi essentiel pour chacune de veiller à rester technologiquement indépendante, poursuit Stéphane Riegel. C’est dans cette perspective qu’ont émergé les concepts de Cloud souverain et de Cloud de confiance, l’un et l’autre offrant des niveaux de garanties différents aux entreprises désireuses de bien appréhender ces risques. »

CLOUD SOUVERAIN vs. CLOUD DE CONFIANCE

Les modèles de Cloud souverain ou de confiance garantissent que les données seront hébergées dans une localisation géographique bien déterminée ou que le contrôle opérationnel du service sera assuré par un acteur local ou européen. « On parlera de Cloud souverain pour des services proposés par une entreprise nationale, hébergée dans le pays même et dont la gestion opérationnelle est effectuée par un acteur local », commente Stéphane Riegel. L’organisation qui a recours à un tel service est assurée que ses données ne tomberont pas entre de mauvaises mains. Considérant la taille du marché auquel s’adresse un tel modèle, il est probable que la flexibilité ou les performances Cloud ne soient pas équivalentes d’un pays à un autre. « Pour un pays comme le Luxembourg, mettre en œuvre un modèle de Cloud souverain peut s’avérer complexe. L’opportunité est sans doute de travailler à l’échelle européenne, de nombreuses réglementations s’appliquant de la même manière pour l’ensemble des pays membres », poursuit le Vice Président de CGI.

À côté du modèle de Cloud souverain, le Cloud de confiance se veut plus pragmatique, avec la volonté d’apporter des réponses à ces enjeux de souveraineté, dans le respect des réglementations en vigueur.
« En mettant en œuvre des normes élevées et en pouvant faire valoir des certifications, comme HDS, PCI/DSS, ISO 27001 ou ISO 27701, les services Cloud apportent des garanties robustes, explique Stéphane Riegel. Un référentiel comme SecNumCloud, élaboré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en France, propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. C’est aujourd’hui, à nos yeux, un modèle de référence pour s’assurer que les données sont traitées et opérées de manière sécurisée et conforme. »

À CHACUN SA STRATÉGIE 

S’il existe des réponses à ces enjeux de souveraineté, comment déterminer vers quelles solutions se tourner ? Cela va dépendre de chaque entreprise et de la criticité des données qu’elle détient et qu’elle est amenée à traiter. « La souveraineté s’appréhende avant tout à l’échelle de l’entreprise, par l’intermédiaire de la stratégie Cloud mise en œuvre, poursuit Stéphane Riegel, qui accompagne des acteurs afin de leur permettre de migrer vers le Cloud et d’en tirer tous les avantages. Certaines données, qui ne disposent d’aucune dimension critique, pourront par exemple continuer à être hébergées ou traitées à travers des solutions de Cloud public, potentiellement plus flexibles ou plus avantageuses technologiquement. D’autres, en raison de leur caractère confidentiel, devront se tourner vers un Cloud de confiance, une solution souveraine ou encore opter pour un Cloud privé. Dans d’autres cas, une approche multiCloud offre également des avantages stratégiques en combinant souveraineté et technologie.»

Pour définir la meilleure option, il faut considérer l’environnement applicatif de l’entreprise, pour analyser la trajectoire Cloud envisageable. Pour chaque application, CGI va envisager les perspectives au travers du spectre des 6R – Retain, Retire, Rehost, Replatform, Refactor, Repurchase. « Certaines applications n’ont pas vocation à migrer vers le Cloud. D’autres peuvent être supprimées afin d’être remplacées par des solutions SaaS (Software as a Service) sur le Cloud. Dans d’autres cas, il sera intéressant de procéder à un redéploiement de l’applicatif dans le Cloud, commente Stéphane Riegel. Les choix à opérer en la matière dépendront des données traitées ou du caractère confidentiel des données que les applications sont amenées à traiter. »

Considérant les enjeux de souveraineté, les entreprises, les Cloud providers ou les prestataires de services numériques, à l’instar de CGI, gagnent en maturité et redoublent d’effort pour sécuriser l’information.