Le cloud computing poursuit sa révolution en profondeur des systèmes d’information des entreprises. Après une phase d’adoption massive tirée par les gains économiques et opérationnels, de nouveaux enjeux émergent autour de la confiance et de la sécurisation des données stratégiques.
Entre renforcement des exigences réglementaires, essor des offres de cloud souverain, et innovation continue côté sécurité, l’année 2024 marquera un tournant vers un cloud de confiance à la française. Petit tour d’horizon des grandes tendances qui feront date dans les mois à venir.
Le cloud souverain et le cloud de confiance, pierre angulaire de la stratégie cloud française
Le cloud souverain et le cloud de confiance partagent un objectif commun : offrir aux organisations françaises, en particulier celles détenant des données critiques, la possibilité de tirer parti des avantages du cloud computing sans compromis sur la sécurité et la maîtrise de leurs informations.
En pratique, ces deux notions renvoient à un ensemble d’exigences et de garanties portant sur plusieurs volets : localisation des données sur le territoire national, transparence des chaînes de traitement, réversibilité des transferts, robustesse des protections contre les cyberattaques, etc.
Il s’agit, in fine, de préserver la souveraineté technologique de la France dans un contexte de multiplication des risques numériques, qu’il s’agisse d’espionnage, de sabotage ou de captation de données à des fins commerciales.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Cette orientation stratégique vers le cloud de confiance s’est matérialisée en 2023 au travers de plusieurs mesures structurantes et poursuivra sur sa lancée en 2024.
On peut notamment citer le programme « Cloud au centre » de l’État qui sanctuarise l’hébergement des services numériques sensibles de l’administration sur des infrastructures souveraines labellisées SecNumCloud.
Les évolutions réglementaires en 2024
La tendance à un renforcement du cadre réglementaire devrait encore s’accentuer en 2024 avec l’entrée en vigueur de nouveaux textes aussi bien au niveau français qu’européen.
L’EUCS (European Union Cloud Services), actuellement en phase finale de rédaction, constituera un texte phare pour la définition des services cloud dignes de confiance.
Ce référentiel unique vise à remplacer, à terme, les initiatives nationales telles que le visa SecNumCloud en France, le C5 en Allemagne ou l’ENS en Espagne.
En outre, les principaux critères de l’EUCS comprennent :
- Siège social basé au sein de l’Union Européenne.
- Garanties sur l’imperméabilité au Cloud Act et à l’extraterritorialité des législations non européennes.
- Localisation d’au moins un datacenter en Europe pour le niveau « High » ou bien tous les datacenters basés dans l’UE pour le niveau « High+ ».
- Résidence des employés accédant aux données située au sein de l’UE et examen approfondi de leur profil.
- Définition élargie des données dites « sensibles » : données personnelles ou non dont la divulgation pourrait porter atteinte à l’ordre public, à la sécurité, à la santé ou à l’exercice de fonctions gouvernementales essentielles.
Autre évolution majeure, le règlement NIS 2.Successeur du texte NIS 1 datant de 2016, le règlement NIS 2 (adopté en 2023) marque un tournant dans la régulation de la cybersécurité au sein de l’Union Européenne.
Son ambition ? Généraliser les bonnes pratiques en matière de sécurité numérique dans tous les maillons de l’économie européenne.
Concrètement, cette nouvelle mouture étend son périmètre à de nouveaux secteurs stratégiques tels que l’administration, les télécoms, les réseaux sociaux ou encore l’industrie spatiale.
Surtout, des milliers d’entreprises privées, sans distinction de taille, se trouvent désormais concernées.
Autre évolution majeure, l’introduction d’un mécanisme de proportionnalité dans les exigences de conformité.
Au niveau français, sur recommandation de l’ANSSI, les obligations diffèreront ainsi entre les « entités essentielles » jugées les plus critiques, et les « entités importantes » dotées d’une criticité moindre.
Conformément au RGPD, les États membres de l’Union Européenne bénéficient d’un délai de 21 mois pour transcrire l’ensemble des dispositions de la directive NIS 2 dans leur droit national.
En conséquence, le texte fixe au 17 octobre 2024 la date butoir pour la mise en application effective des nouvelles règles issues de NIS 2 au sein des législations nationales des 27 pays concernés.
Le projet de loi SREN (qui vise à sécuriser et réguler l’espace numérique) quant à lui, adopté en première lecture le 17 octobre 2023, vise plusieurs actions en 2024 :
- Mise en place par l’Arcom d’un référentiel pour le contrôle de l’âge sur les sites pornographiques, avec blocage possible des sites réfractaires.
- Déploiement d’un dispositif de filtrage cybersécurité pour alerter le grand public face aux tentatives de phishing et d’arnaques.
- Instauration de peines complémentaires de suspension des comptes sur les réseaux sociaux pour les personnes reconnues coupables de cyberharcèlement.
- Pouvoirs étendus pour l’Arcom afin d’exiger le déréférencement en quelques jours des contenus de désinformation propagés par certains médias étrangers.
Au-delà de ces mesures, pour le cloud, la loi SREN interdira notamment les frais de transfert de données en cas de changement de prestataire cloud.
Une mesure qui facilitera la mise en concurrence et évitera les situations de captivité technologique préjudiciables aux clients.
Dans le même esprit, la durée de validité des avoirs commerciaux, souvent utilisés pour fidéliser les clients, sera limitée.
L’interopérabilité des services cloud sera par ailleurs renforcée pour permettre une plus grande fluidité dans la circulation des données entre environnements hétérogènes.
Publiée en 2023 par la Commission Européenne, la réglementation DORA (Digital Operational Resilience Act) marque une étape décisive pour la cybersécurité du secteur financier.
Elle impose de nouvelles exigences ambitieuses en matière de gestion des risques numériques et de continuité des activités.
En ce qui concerne le cloud, DORA fait entrer dans le périmètre réglementaire les tiers « fournisseurs TIC critiques » (CTPP), en y intégrant les fournisseurs de cloud (CSP).
Cette intégration des fournisseurs cloud et prestataires technologiques dans le périmètre traduit la volonté des régulateurs de challenger ces acteurs et de les responsabiliser davantage sur leur rôle clé pour la résilience opérationnelle des institutions financières face au risque cyber.
Une étape qui impactera durablement le marché du cloud pour le secteur. De notre point de vue, 2024 sera donc l’année de la confiance numérique pour le cloud.
On l’a vu, une série de dispositions réglementaires est en passe de structurer fortement le marché du cloud et, notamment, dans sa partie souveraineté et protection des données.
Sur ce dernier point, différents secteurs ont cruellement besoin de régulations en ce sens. C’est le cas notamment de :
- La santé : les données de santé présentent un caractère extrêmement sensible. Dans le même temps, les cyberattaques se multiplient ces dernières années et devraient continuer en 2024. L’hébergement sur des infrastructures cloud souveraines s’impose donc comme un rempart contre les vols de données.
- Le secteur public : en centralisant un volume considérable d’informations sur les citoyens et les administrés, les organismes publics endossent une responsabilité particulière en termes de protection des données. Toute compromission de ces vastes bases de données pourrait ébranler le pacte de confiance. Un cloud hautement sécurisé et transparent constitue dès lors une assurance de résilience.
- La défense : par la sensibilité extrême des informations traitées, la défense se trouve en première ligne face aux menaces numériques étatiques ou terroristes. La moindre faille cyber pourrait avoir des conséquences dramatiques en termes de sécurité nationale.
- Les institutions financières : à l’heure où l’économie est de plus en plus immatérielle, la cybersécurité des institutions financières, gardiennes de données bancaires et boursières stratégiques, est devenue vitale pour la stabilité économique dans son ensemble. Renforcer leur posture passe inexorablement par l’adoption d’un cloud offrant le plus haut niveau de garantie.
La sécurité cognitive, un nouvel atout pour le cloud
Au-delà des protections technologiques classiques du cloud, la sécurité cognitive basée sur l’IA porte la promesse d’une approche plus proactive face aux cybermenaces.
En modélisant les schémas d’attaque et en anticipant leurs prochaines évolutions, ces systèmes cognitifs visent à prémunir les organisations en amont, et non plus seulement en réaction.
Plusieurs éditeurs de solutions cloud dont, notamment IBM, intègrent ainsi des briques d’IA comportementale pour détecter les anomalies et signaux faibles annonciateurs d’une campagne de phishing ou d’une intrusion avancée.
Le machine learning permet également d’adapter le niveau de surveillance aux profils de risques et au contexte pour un meilleur rapport coût/efficacité.
À terme, les technologies de sécurité cognitive appliquées au cloud pourraient permettre une segmentation dynamique des accès ou une mise en quarantaine automatique des menaces.
En dotant les SOC d’une capacité d’anticipation, elles feront franchir un cap décisif à la cybersécurité des entreprises face à des assaillants de plus en plus versés dans le non-linéaire.
L’Edge computing, l’atout de l’IoT et de la santé connectée
L’Edge computing, qui consiste à rapprocher les ressources de calcul et de stockage des périphériques, connaît un essor considérable dans l’univers de l’Internet des Objets (IoT).
En traitant une partie des données en périphérie des réseaux avant leur transfert vers le cloud central, l’Edge computing présente plusieurs avantages compétitifs :
- Gain de temps : en rapprochant les capacités de traitement du lieu de collecte des données, l’Edge computing raccourcit les délais de latence et optimise le temps de réaction des applications IoT et de e-santé.
- Renforcement de la résilience : en diminuant la dépendance au cloud central, il garantit la continuité d’exécution des traitements critiques même en cas de rupture du réseau avec le datacenter distant.
Ces atouts de l’Edge computing en font une technologie d’avenir pour les objets connectés de santé, qu’il s’agisse des pacemakers, des pompes à insuline ou des systèmes de surveillance des constantes vitales.
En accélérant les diagnostics et les interventions, tout en limitant les cyber-risques, l’Edge computing ouvre la voie à une e-santé plus réactive, fiable et sûre.
Conclusion
Finalement, l’année 2024 marquera un tournant décisif pour l’avènement d’un cloud de confiance à la française.
Sous l’impulsion conjuguée des pouvoirs publics et des acteurs privés, les jalons technologiques et réglementaires d’un cloud résilient, réversible et souverain sont en passe d’être posés.
L’entrée en application de textes fondateurs au niveau européen, l’intensification des projets structurants dans des secteurs clés comme la santé ou la défense, et l’innovation continue des offres pour renforcer la sécurité native du cloud, forment un cercle vertueux.
Celui-ci place la confiance et la protection des données stratégiques au centre de la transformation numérique.
Au-delà, cette quête de confiance numérique incarne des enjeux profonds d’indépendance technologique et de liberté de choix dans une économie mondialisée.
Suite Oodrive
Découvrez nos solutions SaaS qualifiées SecNumCloud et certifiées HDS, ISO 27001 et 27701, eIDAS
À ce titre, les solutions de cloud computing pourraient n’être que les prémices d’une ambition politique plus large visant à redessiner une troisième voie numérique européenne, à la fois innovante et protectrice.
Avec Oodrive, optez dès aujourd’hui pour un cloud de confiance, gage de pérennité pour votre système d’information !
En tant que partenaire stratégique, nous vous accompagnons dans la conception sur-mesure de votre infrastructure cloud souveraine.
Nos architectures de cloud privé hautement sécurisées, labellisées SecNumCloud, répondent aux enjeux spécifiques de protection de vos données critiques.