Le cloud computing revêt un enjeu stratégique pour les entreprises les plus exposées aux risques cyber, notamment dans les domaines de la finance, de la bancassurance, de la santé, de l’énergie et de la défense.
La confiance dans le « nuage » passe donc par la mise en œuvre de solutions visant à garantir la sécurité et la souveraineté des données hébergées en ligne.
Tel est l’objectif du « cloud de confiance » : un label forgé pour sécuriser les opérations en ligne sur des clouds privés parfaitement hermétiques et immunisés contre l’extraterritorialité d’un droit étranger, qui s’appuie notamment sur la qualification SecNumCloud de l’ANSSI.
Du cloud computing à la notion de cloud de confiance
Le « cloud » désigne communément une machine virtuelle, une sorte de simulation d’ordinateur, où sont stockées des ressources informatiques auxquelles les utilisateurs peuvent accéder à distance.
Le cloud computing permet ainsi de stocker des données en ligne et de lancer des applications en se connectant à des serveurs qui font le travail, en s’affranchissant des serveurs physiques et des logiciels installés sur site.
Cette technologie s’appuie sur trois modèles de services : SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service), chaque solution offrant plus ou moins de souplesse aux utilisateurs.
Il faut également différencier deux types de clouds :
- Le cloud public est une infrastructure gérée par un fournisseur tiers et accessible via l’Internet public (un peu comme un immeuble de bureaux partagé entre plusieurs entreprises).
- Le cloud privé est une infrastructure propre à une organisation, édifiée en vase clos, offrant un contrôle accru et une sécurité optimale (ce qui en revient à louer des bureaux exclusivement pour ses collaborateurs, mais aussi à sécuriser au maximum le bâtiment).
Le cloud de confiance désigne donc une infrastructure privée qui, en plus de garantir sa sécurité par le biais de solutions techniques pointues et de fournir à ses utilisateurs des moyens de contrôle poussés, est soumise aux normes françaises et européennes en matière d’hébergement et de protection des données – dans une optique de souveraineté.
Cloud de confiance : sécuriser les données des utilisateurs
Ces contraintes de sécurité imposées aux solutions labellisées cloud de confiance reposent sur trois fondamentaux :
- Des infrastructures robustes. C’est la brique de base pour édifier un hébergement en ligne sécurisé : l’infrastructure doit être bâtie autour d’une logique de redondance complète, que ce soit au niveau du réseau web, de l’alimentation électrique ou de la climatisation (en cas de canicule) – tout ce qui permet d’assurer la continuité du service au sein des datacenters, quelles que soient les circonstances. Elle doit aussi s’avérer capable de détecter les attaques cyber (notamment DDoS) et de leur résister.
- Des logiciels sûrs. La couche applicative est essentielle pour assurer la sécurité des données : il s’agit de mettre en œuvre des solutions avancées de cryptage et de stockage des informations, des outils sécurisés pour la gestion et le partage des documents, des règles d’accès aux services adaptées à la criticité des données, etc.
- Des qualifications et des normes, à l’image du label SecNumCloud : une qualification délivrée par l’ANSSI aux fournisseurs de services de cloud privé qui offrent toutes les garanties nécessaires pour le stockage des données sensibles.
Cloud de confiance : garantir la souveraineté des données
La notion de cloud de confiance ne s’arrête toutefois pas à des questions de sécurité des données, même si cette dimension est cruciale.
Le référentiel SecNumCloud s’enrichit également de contraintes géographiques qui ont pour but de limiter la dépendance aux entreprises étrangères, et en particulier à celles qui sont installées dans des pays où existent des lois d’extraterritorialité – celles-ci représentant une menace pour les données.
Extraterritorialité des données : l’exemple américain
En effet, certaines réglementations prévoient la possibilité, pour les agences gouvernementales, d’accéder sur simple demande aux données de n’importe quelle personne ou entreprise en lien avec le pays concerné.
À titre d’exemple, aux États-Unis, le Cloud Act permet de contraindre une entité installée dans le pays à fournir des informations sur ses clients, même lorsque ces données sont hébergées hors du territoire national, la loi s’appliquant à toute « personne américaine » : une définition assez vague pour inclure les personnes morales, y compris les filiales étrangères des groupes étasuniens.
De sorte que toute donnée stockée sur les clouds d’Amazon, de Google ou de Microsoft est susceptible de faire l’objet d’une demande d’accès de la part du gouvernement américain, à tout moment !
Les contraintes géographiques du cloud de confiance
C’est pourquoi le label cloud de confiance impose aux prestataires labellisés…
- de s’appuyer sur une technologie exclusivement européenne et de gérer leurs services cloud depuis un pays européen,
- de n’entretenir aucun lien avec des entreprises installées dans des pays qui pratiquent des lois d’extraterritorialité,
- d’être détenus par des citoyens européens,
- et d’héberger les données de leurs clients sur le territoire d’un pays membre de l’UE.
Cela, de manière à ce que les données stockées soient uniquement soumises à la réglementation européenne, plus protectrice pour les utilisateurs (comme le RGPD).
Le cloud de confiance est un label déterminant dans un écosystème toujours plus à risque : il permet aux entreprises de sélectionner des prestataires de services cloud qui offrent un maximum de garanties en matière de sécurité et de souveraineté des données.
Pour en savoir plus, découvrez notre expertise sur le SecNumCloud.