La souveraineté numérique garantit la sécurité dans le cloud public
Publié le 01/07/2024 dans Solutions à la une
Lorsqu’elles envisagent de migrer vers le cloud public, les entreprises sont parfois freinées par les risques sécuritaires et les contraintes de conformité et de gouvernance. D’où l’intérêt pour la souveraineté numérique, explique Gwénaëlle Hervé, Public & Sovereign Cloud Lead chez Proximus NXT.
Dans les grandes entreprises, la sécurité et la compliance font désormais partie des priorités en matière de stratégie, tant pour la direction générale que le business et l’informatique. Il faut dire que les cyberattaques de tous types se multiplient, tandis que les autorités européennes et nationales mettent en place des réglementations et des régulations visant à encadrer le traitement des données sensibles.
“Avec l’émergence du cloud public, les organisations se rendent compte à quel point la protection des données est fragile quand elle est gérée par des structures de cloud qui ne relèvent pas de juridictions européennes”, estime Gwénaëlle Hervé, Public & Sovereign Cloud Lead chez Proximus NXT. D’où l’apparition du concept de souveraineté numérique.
Le cloud souverain offre un avantage concurrentiel puisqu'il permet de bénéficier de tous les avantages novateurs du public cloud, y compris pour les données sensibles.
Gwénaëlle Hervé, Public & Sovereign Cloud Lead chez Proximus NXT.
Trois piliers
“La souveraineté numérique, parfois appelée aussi cybersouveraineté, est l’application des principes de souveraineté au domaine des technologies de l’information et de la communication”, enchaîne Gwénaëlle.
En pratique, la souveraineté numérique repose sur trois piliers:
- D’abord, la souveraineté des données par laquelle le client décide qui peut accéder à ses données et qui contrôle les clés de chiffrement. En l’occurrence, les données sont soumises aux règles de leur juridiction d’origine, tandis que la solution de cryptage permet d’empêcher le fournisseur du cloud d’accéder aux données.
- Ensuite, la souveraineté opérationnelle grâce à laquelle le client a la transparence et le contrôle sur les opérations du fournisseur du cloud, sachant que les données sont gérées en local par des équipes locales.
- Enfin, la souveraineté technologique qui permet de déconnecter la solution du fournisseur de cloud et du réseau internet.
Réaction européenne
“La souveraineté numérique est importante dans la mesure où les grands fournisseurs de cloud sont tous américains et où le Cloud Act américain de 2018 permet aux services de renseignements américains d’avoir accès aux données de n’importe quel client par ordre de justice. Heureusement, l’Europe a réagi avec différents boucliers de protection des données, comme Schrems II ou le RGPD, en démontrant ainsi la valeur réelle des données européennes et en autorisant les entreprises européennes à se protéger”, explique Gwénaëlle.
En outre, la directive NIS2 (Network and Information Security) qui entrera en application en Belgique cette année renforce encore la cybersécurité des entreprises qui doivent par ailleurs procéder à des audits réguliers et signaler rapidement les incidents de sécurité.
Et d’autres réglementations et législations se mettent en place ou sont proposées, notamment concernant les marchés numériques, les services numériques ou encore l’intelligence artificielle.
Pourquoi le cloud souverain pour les entreprises ?
“Le cadre régulatoire peut être perçu comme un frein par de nombreuses entreprises qui se demandent comment maintenir le rythme d’innovation tout en répondant aux impératifs de sécurité et de conformité. Or le cloud souverain permet d’abord de gérer et de sécuriser les données par des entités européennes, ce qui garantit que les données ne quitteront pas les frontières de l’Europe.
Ensuite, le cloud souverain est conçu dans le respect des directives européennes, ce qui garantit la gouvernance des données. Enfin, le cloud souverain offre un avantage concurrentiel stratégique puisqu’il permet de bénéficier de tous les avantages novateurs du cloud public, y compris pour les données sensibles”, insiste Gwénaëlle.
La mise en place d’un cloud souverain implique trois étapes:
- La classification correcte du niveau de sensibilité des données et la définition des exigences de souveraineté en fonction du type de souveraineté choisi.
- La sélection de la solution de cloud souverain adéquate en fonction du niveau de sensibilité et la réalisation éventuelle d’un projet pilote pour s’assurer que la solution choisie donne les résultats escomptés.
- La mise en production du cloud souverain.
“Rappelons néanmoins que seules les données sensibles nécessitent l’utilisation d’un cloud souverain. En effet, les données non-sensibles peuvent parfaitement continuer à tourner dans un cloud ‘classique’”, fait remarquer Gwénaëlle.
Proximus comme partenaire de confiance
En tant que partenaire ICT des grandes entreprises, Proximus NXT se positionne comme un précurseur et pionnier en matière de cloud souverain en proposant différentes options à ses clients.
C’est ainsi que dans le cadre de la solution Microsoft Encrypted Public Cloud, Proximus NXT est la première au sein du Benelux à réaliser le lancement commercial de l’offre MCfS (Microsoft Cloud for Sovereignty), elle-même disponible publiquement depuis décembre 2023. Et la première en Europe à rendre disponible un cloud souverain “déconnecté” avec Clarence depuis octobre 2023.
Seules les données sensibles requièrent l’utilisation d’un cloud souverain.
Gwénaëlle Hervé, Public & Sovereign Cloud Lead chez Proximus NXT.
Concrètement, les données se trouvent dans le cloud confidentiel de Microsoft, mais avec une encryption forte à toutes les phases d’utilisation de la données (y compris “in use”). La souveraineté des données est garantie grâce à l’utilisation d’une solution de management de la clé d’encryption pour laquelle nous avons choisi de travailler avec notre partenaire Thalès et la solution d’attestation de notre partenaire Intel.
Et en octobre 2023, Proximus et LuxConnect ont lancé une joint-venture “Clarence” (pour Clarté et Transparence) qui sera la première en Europe à commercialiser un cloud souverain déconnecté basée sur l’offre Google Distributed Cloud Hosted (GDCH).
“Nous entendons ainsi permettre aux entreprises européennes de continuer à innover tout en respectant les normes éthiques les plus élevées en matière de protection des données, de confidentialité et de conformité réglementaire”, considère encore Gwénaëlle.
Le cloud souverain, outil fondamental
“Lorsque nous échangeons avec nos clients, nous avons relevé deux défis “récurrents”, fait encore remarquer Gwénaëlle. D’une part, une réelle volonté d’opérer en respectant les principes de souveraineté numérique. Certes, la prise de conscience est faite sur la nécessité de protéger les données européennes, mais sans que l’application de ces principes de souveraineté ne deviennent un frein à l’innovation.
En effet, la mise à disposition par les hyperscalers des solutions permettant de protéger tout en innovant, qu’il s’agisse par exemple de Google Distributed Cloud Hosted ou de Microsoft Cloud for Sovereignty, reste relativement récente et encore trop méconnue du marché. Le role des partenaires ICT européens, en collaboration avec les partenaires technologiques, aujourd’hui est donc d’évangéliser, de rassurer quant aux possibilités qui s’offrent aux entreprises souhaitant opérer de manière responsable.”
Un second défi porte sur la difficulté à classifier “correctement” les données. “Quelle donnée est sensible ou non ? Quelle application devrait être hébergée dans un cloud souverain ? Il n’existe malheureusement pas aujourd’hui de schéma régulatoire européen ou national qui épaulerait les entreprises sur ce schéma de classification des données, et du “niveau de souveraineté” adéquat, là-aussi les partenaires ICT prennent le rôle de conseiller afin d’aider les clients à apporter des réponses à ces questions essentielles”, conclut Gwénaëlle.
Proximus NXT innove à nouveau dans le domaine du cloud souverain grâce à un partenariat avec Microsoft, Thales et Intel.
Experts
Nos experts vous tiennent au courant des dernières nouvelles et tendances pour les professionnels de l'ICT.