Souveraineté des données : se poser les bonnes questions

Autant de paramètres à prendre en compte pour toutes ces données, si chères, aux entreprises. Rencontre avec Eric Singer, consultant expert en cybersécurité chez inspearit et membre du CESIN, qui revient sur les risques encourus par celles-ci…

IT Pro Magazine : Quels sont les risques encourus pour les données ?

Les risques sont à évaluer en fonction du rôle du système d’information. Quelques questions simples sont à se poser. Il y a-t-il des processus critiques en jeu et quels sont-ils ? Le système d’information contient-il des informations stratégiques qui modifiées ou connues mettraient en risque l’entreprise ?

Contient-il des informations à caractère personnel ? Tout est question de stratégie à choisir pour l’entreprise : si une solution Cloud est envisagée, la stratégie de passage au Cloud sera fonction des risques encourus associés. Du Cloud privé, au Cloud public, en passant par le Cloud hybride, il y a plusieurs options.

La localisation des sauvegardes des données doit aussi être vérifiées afin de garantir, au besoin, le même niveau de confidentialité que les données opérationnelles. Après avoir identifié les risques et opté pour le Cloud, une bonne pratique est d’intégrer les exigences de sécurité dans le contrat avec l’éditeur de la solution Cloud.

Quelles sont ces exigences de sécurité ?

Parmi les exigences de sécurité, deux principales sont à prendre en compte.

Première exigence : La gestion des accès métiers afin d’être sûr que le système d’information ne soit accessible que par les personnes habilitées et non par des individus non autorisés, ayant par exemple, quitté l’entreprise mais dont les accès n’ont pas été révoqués dans le système d’information. Là se pose évidemment le lien entre le métier connaissant le droit à l’information et l’informatique garant des accès à cette information.

Deuxième exigence : La sécurisation de l’infrastructure afin de permettre aux utilisateurs de se connecter au Cloud de manière simple tout en se protégeant contre des cyber-attaques. Par exemple des systèmes d’authentification unique voire de gestion d’identité permettent de se connecter de manière simple et sécurisée au système externalisé.

D’autres exigences, comme la localisation physique des données doivent aussi être prises en compte. Où sont hébergées les données de l’entreprise, France, Europe, Etats-Unis ? Dans le cas d’un besoin de sécurisation maximale d’applications critiques, il faut sans contexte choisir la France.

Toutes ces exigences de sécurité, y compris légales et réglementaires, doivent être intégrées dans un SLA (Service Level Agreement) entre l’entreprise et l’éditeur de la solution Cloud.

Quelle est la réflexion du CESIN sur le sujet ?

Le CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique a été créé en juillet 2012 et regroupe plus d’une centaine de membres. C’est un lieu d’échange de connaissances et d’expériences autour des divers aspects de la sécurité et notre réflexion porte notamment sur les données sensibles dans le Cloud. Les responsables Sécurité semblent avoir de bonnes pratiques et utilisent des clauses contractuelles pour la localisation.

Ces clauses permettent ainsi d’assurer la confidentialité des données et échanger de manière fiable en dehors de l’entreprise avec les partenaires. Plusieurs scénarios sont évidemment possibles, nous voyons par exemple des RSSI dans l’industrie qui décident de ne pas héberger les données confidentielles à l’extérieur car elles ne seront pas suffisamment protégées, même chiffrées, ils se tournent alors vers l’hébergement interne.

Face à cette souveraineté des données, que dire du rôle du métier, du DSI et du prestataire ?

Les systèmes d’information étant de plus en plus « standards sur étagère », la gestion se fait souvent directement entre le métier et le prestataire externe, sans réelle valeur ajoutée de la DSI.

Seules les compétences métiers sont nécessaires y compris d’un point de vue sécurité. Les équipes supports au système d’information sont de moins en moins impliquées et doivent donc se concentrer sur les applications critiques métiers, encore développées sur mesure.