Florian Malecki, CMO chez Arcserve
Cette question de souveraineté fait référence à la juridiction et au contrôle des données et à la manière dont elles sont stockées, utilisées et protégées. Il s'agit d'une préoccupation majeure pour les entreprises, alors que leur traitement occupe une place de plus en plus importante dans la prise de décision et la croissance. En parallèle, la digitalisation progressive des opérations et la prolifération du cloud ont également créé de nouveaux défis, et demandent là encore de respecter les réglementations en matière de souveraineté.
Par ce principe, il faut entendre que le traitement des données doit respecter les règles du pays dans lequel elles sont collectées. Supposons donc qu'une entreprise basée aux États-Unis recueille des informations sur ses clients en France : elle doit alors se conformer au règlement général sur la protection des données (RGPD) de l'Union européenne et à toute autre loi locale applicable. Cela peut créer de nombreuses difficultés pour les entreprises qui opèrent à l'échelle mondiale, car elles peuvent être amenées à gérer plusieurs datacenters répartis dans différents pays afin de se conformer aux lois et réglementations de chacun. En plus d'être coûteuse et compliquée sur le plan logistique, cette situation peut aussi créer des vulnérabilités en matière de sécurité.
Cela signifie également que le pays ou la juridiction dont dépend le siège n'a pas nécessairement autorité sur l'ensemble des données détenues par l'entreprise. Par exemple, si une firme américaine en stocke sur des serveurs situés dans l'Union européenne, elles seront soumises aux lois européennes plutôt qu'américaines. Un tel scénario confirme que l'emplacement physique des données est plus important que la domiciliation d'une entreprise lorsqu'il s'agit de la gestion de la souveraineté.
Les sociétés doivent également connaître et vérifier qui a accès à leurs fichiers. Nombre de ces dernières placent leurs données les plus critiques dans le cloud, dont des secrets commerciaux et de précieux renseignements sur les clients. Cela pourrait pourtant menacer leur futur si des hackers parvenaient à y accéder. En contrôlant qui et quand on accède à leurs données, les entreprises ont ainsi plus de chances d'empêcher les intrus d'accéder à leurs fichiers et de protéger leur activité.
L’importance de la sauvegarde
Les conséquences peuvent être graves pour les entreprises qui ne respectent pas les réglementations relatives à la souveraineté des données. L'une d'entre elles réside dans le risque de se voir infliger des amendes et des sanctions juridiques. De nombreux pays disposent en effet de lois strictes pour protéger les données de leurs citoyens, et les sociétés qui ne les respectent pas s'exposent à de lourdes amendes et sanctions.
Elles peuvent également être confrontées à d'autres problèmes, comme l'impossibilité de récupérer leurs données ou d'accéder à leurs sauvegardes en cas de cyberattaque ou de catastrophe naturelle. Cela peut alors avoir de sérieuses conséquences puisque la continuité d'activité est menacée.
Les conseils pour sélectionner le fournisseur de cloud
Pour s'assurer qu'elles respectent les réglementations relatives à la souveraineté des données, les entreprises doivent choisir un fournisseur de services cloud conforme. La plupart de ces derniers disposent de datacenters dans différents pays et peuvent ainsi aider leurs clients à respecter les exigences locales en matière de stockage et de traitement des données.
Dans cette optique, la Commission européenne a plaidé en faveur de l'inclusion de dispositions relatives à la souveraineté des prestataires cloud. Ces exigences visent à mettre les données de l'UE hors de portée des juridictions étrangères. Les entreprises doivent donc faire preuve de diligence et choisir un fournisseur de services cloud fiable, qui a fait ses preuves en matière de respect des réglementations.
Un autre moyen de garantir la conformité consiste à mettre en œuvre soi-même de solides politiques et procédures de gouvernance. Cela suppose par exemple d'établir des règles et des lignes directrices claires pour la collecte, le stockage et l'utilisation des données et de mettre en œuvre des mesures de sécurité solides pour se protéger contre les violations et les accès non autorisés. Les entreprises peuvent également envisager de mettre en œuvre des techniques de masquage ou de cryptage pour protéger les données sensibles et garantir la conformité liée aux questions de souveraineté.
Qui plus est, les données devenant un actif de plus en plus précieux, les entreprises doivent commencer à penser au-delà de la simple conformité et réfléchir à la manière dont elles peuvent protéger leurs fichiers au fur et à mesure que les lois évoluent et que de nouvelles réglementations apparaissent. Pour cela, elles doivent adopter des processus et des outils qui vont au-delà des exigences minimales, tout en donnant la priorité à la protection des données.
Les entreprises peuvent aussi jouer la carte de la transparence et de l'ouverture en ce qui concerne leurs pratiques en matière de données. Elles peuvent notamment indiquer clairement où elles sont stockées et comment elles sont utilisées, et répondre à toutes les demandes ou requêtes des clients concernant leurs informations personnelles. Ainsi, elles instaurent un climat de confiance avec leurs clients et démontrer leur engagement à respecter les réglementations.
La priorité aux stratégies 3-2-1-1
Enfin, une solide stratégie de sauvegarde et de restauration est essentielle pour toute entreprise, car elle permet de se prémunir contre la perte de données et de s'assurer que les informations essentielles soient disponibles en cas de besoin. Plus précisément, une stratégie 3-2-1-1 peut aider les entreprises à se conformer aux exigences en matière de souveraineté en fournissant plusieurs copies des données essentielles, stockées à différents endroits.
Cette stratégie consiste à conserver trois copies des données, dont deux sont stockées sur place dans des emplacements physiques différents et deux autres hors site, par exemple dans le cloud. Le dernier 1 de cette stratégie correspond quant à lui au stockage d'objets immuables. Il s'agit de faire des captures de vos données toutes les 90 secondes pour les restaurer rapidement en cas de sinistre, que ce soit à la suite d'une catastrophe naturelle, d'une cyberattaque ou d'un autre incident.
Alors que les gouvernements s'efforcent d'établir des réglementations en matière de protection et de souveraineté des données, la question de la sécurité et de la propriété revient en force sur le devant de la scène. Il devient en effet de plus en plus important de comprendre où ses données sont stockées et qui y a accès, notamment dans le cloud. La transformation digitale qui se poursuit amplifie l'importance de ces questions et les organisations doivent donc privilégier la sécurité des données afin de préserver leur réputation et leur marque et in fine favoriser la confiance.
Par ce principe, il faut entendre que le traitement des données doit respecter les règles du pays dans lequel elles sont collectées. Supposons donc qu'une entreprise basée aux États-Unis recueille des informations sur ses clients en France : elle doit alors se conformer au règlement général sur la protection des données (RGPD) de l'Union européenne et à toute autre loi locale applicable. Cela peut créer de nombreuses difficultés pour les entreprises qui opèrent à l'échelle mondiale, car elles peuvent être amenées à gérer plusieurs datacenters répartis dans différents pays afin de se conformer aux lois et réglementations de chacun. En plus d'être coûteuse et compliquée sur le plan logistique, cette situation peut aussi créer des vulnérabilités en matière de sécurité.
Cela signifie également que le pays ou la juridiction dont dépend le siège n'a pas nécessairement autorité sur l'ensemble des données détenues par l'entreprise. Par exemple, si une firme américaine en stocke sur des serveurs situés dans l'Union européenne, elles seront soumises aux lois européennes plutôt qu'américaines. Un tel scénario confirme que l'emplacement physique des données est plus important que la domiciliation d'une entreprise lorsqu'il s'agit de la gestion de la souveraineté.
Les sociétés doivent également connaître et vérifier qui a accès à leurs fichiers. Nombre de ces dernières placent leurs données les plus critiques dans le cloud, dont des secrets commerciaux et de précieux renseignements sur les clients. Cela pourrait pourtant menacer leur futur si des hackers parvenaient à y accéder. En contrôlant qui et quand on accède à leurs données, les entreprises ont ainsi plus de chances d'empêcher les intrus d'accéder à leurs fichiers et de protéger leur activité.
L’importance de la sauvegarde
Les conséquences peuvent être graves pour les entreprises qui ne respectent pas les réglementations relatives à la souveraineté des données. L'une d'entre elles réside dans le risque de se voir infliger des amendes et des sanctions juridiques. De nombreux pays disposent en effet de lois strictes pour protéger les données de leurs citoyens, et les sociétés qui ne les respectent pas s'exposent à de lourdes amendes et sanctions.
Elles peuvent également être confrontées à d'autres problèmes, comme l'impossibilité de récupérer leurs données ou d'accéder à leurs sauvegardes en cas de cyberattaque ou de catastrophe naturelle. Cela peut alors avoir de sérieuses conséquences puisque la continuité d'activité est menacée.
Les conseils pour sélectionner le fournisseur de cloud
Pour s'assurer qu'elles respectent les réglementations relatives à la souveraineté des données, les entreprises doivent choisir un fournisseur de services cloud conforme. La plupart de ces derniers disposent de datacenters dans différents pays et peuvent ainsi aider leurs clients à respecter les exigences locales en matière de stockage et de traitement des données.
Dans cette optique, la Commission européenne a plaidé en faveur de l'inclusion de dispositions relatives à la souveraineté des prestataires cloud. Ces exigences visent à mettre les données de l'UE hors de portée des juridictions étrangères. Les entreprises doivent donc faire preuve de diligence et choisir un fournisseur de services cloud fiable, qui a fait ses preuves en matière de respect des réglementations.
Un autre moyen de garantir la conformité consiste à mettre en œuvre soi-même de solides politiques et procédures de gouvernance. Cela suppose par exemple d'établir des règles et des lignes directrices claires pour la collecte, le stockage et l'utilisation des données et de mettre en œuvre des mesures de sécurité solides pour se protéger contre les violations et les accès non autorisés. Les entreprises peuvent également envisager de mettre en œuvre des techniques de masquage ou de cryptage pour protéger les données sensibles et garantir la conformité liée aux questions de souveraineté.
Qui plus est, les données devenant un actif de plus en plus précieux, les entreprises doivent commencer à penser au-delà de la simple conformité et réfléchir à la manière dont elles peuvent protéger leurs fichiers au fur et à mesure que les lois évoluent et que de nouvelles réglementations apparaissent. Pour cela, elles doivent adopter des processus et des outils qui vont au-delà des exigences minimales, tout en donnant la priorité à la protection des données.
Les entreprises peuvent aussi jouer la carte de la transparence et de l'ouverture en ce qui concerne leurs pratiques en matière de données. Elles peuvent notamment indiquer clairement où elles sont stockées et comment elles sont utilisées, et répondre à toutes les demandes ou requêtes des clients concernant leurs informations personnelles. Ainsi, elles instaurent un climat de confiance avec leurs clients et démontrer leur engagement à respecter les réglementations.
La priorité aux stratégies 3-2-1-1
Enfin, une solide stratégie de sauvegarde et de restauration est essentielle pour toute entreprise, car elle permet de se prémunir contre la perte de données et de s'assurer que les informations essentielles soient disponibles en cas de besoin. Plus précisément, une stratégie 3-2-1-1 peut aider les entreprises à se conformer aux exigences en matière de souveraineté en fournissant plusieurs copies des données essentielles, stockées à différents endroits.
Cette stratégie consiste à conserver trois copies des données, dont deux sont stockées sur place dans des emplacements physiques différents et deux autres hors site, par exemple dans le cloud. Le dernier 1 de cette stratégie correspond quant à lui au stockage d'objets immuables. Il s'agit de faire des captures de vos données toutes les 90 secondes pour les restaurer rapidement en cas de sinistre, que ce soit à la suite d'une catastrophe naturelle, d'une cyberattaque ou d'un autre incident.
Alors que les gouvernements s'efforcent d'établir des réglementations en matière de protection et de souveraineté des données, la question de la sécurité et de la propriété revient en force sur le devant de la scène. Il devient en effet de plus en plus important de comprendre où ses données sont stockées et qui y a accès, notamment dans le cloud. La transformation digitale qui se poursuit amplifie l'importance de ces questions et les organisations doivent donc privilégier la sécurité des données afin de préserver leur réputation et leur marque et in fine favoriser la confiance.
Autres articles
-
Le MIT a recensé 777 risques potentiels liés à l’IA dans une base de données partagée gratuitement
-
Gouverner l’intelligence artificielle : les données, leur qualité, leur conformité (4ème partie)
-
Gouverner l’intelligence artificielle : cadres réglementaires et normatifs (3ème partie)
-
Gouverner l’intelligence artificielle : cartographier les risques (2ème partie)
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand