Conditional Access dans Entra ID : une sécurité avancée pour vos infrastructures
Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD), est le service d’identité cloud de Microsoft, dédié...
Début juillet 2024, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publiait ses recommandations concernant l’hébergement des SI sensibles dans le cloud.
En effet, alors que le marché du cloud souverain est en pleine expansion et accueille de nouveaux entrants (Bleu, S3NS, AWS Sovereign Cloud, Outscale, etc), on constate également que les entreprises peinent à comprendre la notion exacte de « souveraineté ». On vous en dit plus.
Le cloud souverain désigne une approche du cloud qui garantit que les données sont hébergées, contrôlées et gérées conformément aux lois et régulations d’un pays ou d’une région spécifique. Il repose sur l’idée de protéger les données sensibles en évitant que celles-ci ne soient soumises à des législations étrangères.
Le cloud souverain peut se décliner en plusieurs niveaux, chacun répondant à des besoins spécifiques :
Le marché du cloud souverain compte plusieurs acteurs, locaux et internationaux, qui se positionnent comme des alternatives aux grands fournisseurs de cloud mondiaux (Microsoft, Amazon ou Google).
Voici un panorama de ces hébergeurs :
La multiplication des cyberattaques et des incidents de sécurité dans le cloud ont révélé la vulnérabilité des infrastructures cloud, surtout lorsqu’elles sont opérées depuis l’étranger.
Les entreprises et les gouvernements craignent de plus en plus que leurs données sensibles puissent être exploitées à des fins d’espionnage industriel ou de sabotage. Les récentes affaires de vol de données, notamment dans le secteur industriel, ont mis en lumière l’importance de protéger ces informations stratégiques et de mettre un point d’honneur sur la sécurité dans le cloud en général.
La dépendance excessive envers les grandes entreprises du numérique est une autre raison majeure de l’émergence du cloud souverain. En France et en Europe, il existe une réelle volonté de réduire cette dépendance pour renforcer l’autonomie technologique et garantir un meilleur contrôle sur les infrastructures.
Ce besoin de contrôle et de maîtrise sur les infrastructures et l’hébergement est notamment soutenu par la prise de conscience des citoyens de protéger leurs données personnelles et éviter qu’elles soient revendues, exploitées à l’étranger ou sur le dark web.
La réglementation, à la fois nationale et internationale, joue un rôle déterminant dans le développement du cloud souverain.
Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes en matière de protection des données personnelles, obligeant les entreprises à stocker et traiter ces données dans des conditions de sécurité optimales. À cela s’ajoutent des législations spécifiques de certains pays ou de certains secteurs qui imposent des contraintes supplémentaires en matière de sécurité.
Le recours à un cloud souverain dépend de la nature de l’activité et du type de données manipulé. Par exemple, une entreprise dans le secteur de la défense, de l’armement ou de la santé devra probablement opter pour une infrastructure souveraine afin de garantir un haut niveau de sécurité. En revanche, une plateforme de streaming comme Netflix n’a pas d’intérêt à opter pour un cloud souverain. Il est donc crucial d’identifier les applications et les données critiques pour déterminer si une migration partielle ou totale vers un cloud souverain est nécessaire.
Le respect de la souveraineté des données concerne principalement les données personnelles et celles à caractère sensible (par exemple les données de santé). En application du RGPD et d’autres réglementations locales, de nombreuses entreprises doivent protéger certaines de leurs données. Cela inclut non seulement des secteurs comme la santé ou la défense, mais aussi toutes les entreprises manipulant des informations confidentielles concernant leurs employés ou leurs clients.
Une autre complexité réside dans l’imbrication de données souveraines et non souveraines, qui peut entraîner la « contamination » des données non souveraines par les données protégées. De ce fait, une donnée non souveraine qui ne peut pas être découplée d’une donnée souveraine sera également considérée comme sensible.
Bien que les projets de migration vers le cloud classique et vers le cloud souverain se ressemblent en apparence, ils diffèrent par les contraintes technologiques et les options disponibles.
Les solutions cloud souverain proposent généralement moins de services prêts à l’emploi, exigeant ainsi plus d’efforts de personnalisation et de développement de la part du client. De plus, les contraintes réglementaires sont plus strictes, ce qui impose un suivi et une gestion plus rigoureuse de la conformité.
La durée totale du projet dépendra de la taille de l’entreprise. Pour une petite entreprise, les premières étapes pourraient être réalisées en quelques mois, tandis qu’un grand groupe comportant de nombreuses données sensibles (par exemple un groupe bancaire) pourrait nécessiter plusieurs années pour accomplir une migration complète.
Le cloud souverain offre plusieurs avantages :
Cependant, les avantages apportent leur lot d’inconvénients. Renforcer la sécurité entraîne inévitablement des coûts plus élevés, une complexité technique non négligeable, ainsi qu’une vigilance accrue de la part des utilisateurs et des clients quant à l’utilisation des services fournis par leur prestataire de cloud.
Le cloud souverain est une solution qui répond à des besoins de sécurité et de conformité. Son adoption est particulièrement adaptée pour les entreprises manipulant des données sensibles (telles que des données personnelles ou de santé) ou soumises à des régulations strictes. Mais cela n’empêche pas de posséder un hébergement cloud public ou privé à côté pour héberger des données et des applications non soumises à la contrainte de souveraineté.
Articles similaires
Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD), est le service d’identité cloud de Microsoft, dédié...
Avec l’essor rapide de l’IA Générative, de nouvelles technologies émergent pour répondre aux besoins croissants en matière de gestion de...
Le rachat de VMware par Broadcom marque un tournant majeur dans le domaine de la virtualisation et des infrastructures informatiques....