Dans une économie numérique, celui qui contrôle la donnée dispose d’un avantage sur les autres. «Que l’on souhaite accélérer son développement commercial, envisager des transformations stratégiques, améliorer son efficience opérationnelle ou encore soutenir le développement de l’intelligence artificielle, la donnée est devenue un actif clé», explique Pierre Grasset, Chief Commercial Officer au sein de LuxTrust. «La donnée, c’est l’or des temps modernes. Aussi, il est essentiel de la protéger et de garantir la souveraineté des organisations quant à l’exploitation qui peut être faite de leurs données.»
La donnée, c’est l’or des temps modernes. Aussi, il est essentiel de la protéger et de garantir la souveraineté des organisations quant à l’exploitation qui peut être faite de leurs données.
Garder le contrôle
Ce concept de souveraineté de la donnée est au cœur de nombreuses discussions. Plusieurs nouvelles règlementations européennes, visant à protéger la compétitivité des organisations autant que les citoyens, doivent contribuer à préserver les informations à haute valeur ajoutée vis-à-vis de tiers, comme celles relatives à la propriété intellectuelle, par exemple. Parmi ces règlementations, on peut citer DORA, dont l’objectif est de s’assurer de la résilience opérationnelle numérique des acteurs de la finance, ou encore NIS2, qui entend renforcer la sécurité des opérateurs de services importants et essentiels. «Alors que les acteurs se tournent de plus en plus vers des solutions de cloud public, dont les principales émanent d’entreprises américaines, la question de souveraineté des données devient de plus en plus cruciale», poursuit Pierre Grasset. «L’enjeu est de pouvoir garantir la traçabilité des données à tout moment. Il faut en assurer le contrôle, pouvoir déterminer les usages qui en sont faits et savoir où elles sont localisées et qui peut y accéder. Si l’organisation n’est pas en capacité d’apporter des réponses vis-à-vis de ces divers enjeux, les principes de souveraineté ne sont pas garantis.»
Écosystèmes ouverts, risques accrus
Or, rien n’est moins évident. Héberger ses données auprès d’un opérateur de cloud public, notamment si celui-ci relève de la juridiction américaine, c’est courir un risque qu’elles puissent être transmises aux autorités US sur requête du gouvernement en raison du Cloud Act. Les solutions d’intelligence artificielle, dont on parle énormément aujourd’hui et qui sont aussi portées par des acteurs tiers, doivent pouvoir accéder aux données de l’entreprise en vue de les traiter selon l’objectif poursuivi. «Les technologies les plus innovantes, en effet, sont proposées au départ du cloud. Par le passé, les organisations assuraient le traitement et la sécurité de leurs données à partir de leur propre infrastructure. Aujourd’hui, elles voient leur environnement informatique s’étendre. Elles s’exposent de fait à des risques de pertes ou de fuites de données de plus en plus importants», ajoute Pierre Grasset.
Contrôler l’accès aux données
Il est dès lors important que les organisations prennent la mesure de ces enjeux et s’assurent de la préservation de leurs données. Le renforcement de la souveraineté numérique s’envisage de diverses manières. «L’un des premiers enjeux est de pouvoir contrôler l’accès aux données, de s’assurer que seules les personnes autorisées puissent prendre connaissance des données à protéger. Pour cela, nous recommandons de s’appuyer sur des identités numériques de niveau substantiel, à minima, selon la règlementation eIDAS», explique l’expert de LuxTrust. En la matière, si l’organisation met en place des contrôles d’accès, elle doit aussi prévenir les risques liés à de potentielles usurpations d’identité numérique dans l’optique d’accéder aux données. «À l’échelle européenne, ce type de fraude constitue un réel fléau», commente Pierre Grasset. «18% des Français, par exemple, en ont déjà été victimes. Le nombre de fraudes recourant à une usurpation d’identité ne cesse de croître année après année.»
Chiffrer et garantir l’intégrité
S’il faut contrôler l’accès aux données, il est aussi essentiel de s’assurer qu’elles ne pourront pas, à aucun moment, être lues par des personnes non autorisées. «À ce niveau, les organisations doivent recourir au chiffrement de leurs informations et s’assurer d’être les seules à détenir la clé qui permet de les déchiffrer», poursuit le Chief Commercial Officer. «Les règlementations qui entrent en vigueur, comme DORA ou NIS2, sont très explicites vis-à-vis de cette exigence. Si les données sont hébergées auprès d’un tiers, comme un cloud provider, il faut pouvoir prendre des mesures s’assurant qu’elles ne seront visibles que des personnes autorisées. Cela passe par le chiffrement.» La plupart des grands cloud providers proposent des solutions de chiffrement. Cependant, ces acteurs disposent de la clé permettant de déchiffrer. Le risque que les données de l’organisation soient exposées demeure donc réel et la souveraineté ne peut être assurée.
Les organisations doivent aussi se donner les moyens de garantir l’intégrité, l’origine et l’authenticité de leurs données tout au long de leur cycle de vie. Dans ce contexte, elles ont recours aux services de confiance prévus dans la règlementation eIDAS, comme le cachet électronique. Ce sceau permet de certifier l’intégrité et l’origine des documents et contribue ainsi à limiter les tentatives de fraude.
Plus que jamais, les organisations doivent prendre conscience de la valeur de leurs données et des informations qu’elles détiennent.
Gouvernance et services de confiance
«Plus que jamais, les organisations doivent prendre conscience de la valeur de leurs données et des informations qu’elles détiennent. Face à la multiplication des risques, il est essentiel de se doter d’une bonne gouvernance, assurant notamment la préservation des éléments les plus critiques pour le développement de leur activité, et mettre en œuvre toutes les mesures utiles en vue d’en garantir la sécurité», commente Pierre Grasset. «Cette gouvernance doit permettre d’identifier les risques ainsi que les solutions, s’appuyant notamment sur des services de confiance comme ceux que propose LuxTrust, afin de garantir leur souveraineté.»