L’importance d’un Cloud Souverain hébergé en France et certifié ISO 27001

12/09/2017 | Cloud en France & certification ISO 27001 | Dorian Ribard

Les données collectées et créées par les entreprises sont de plus en plus nombreuses et de plus en plus stratégiques. Pour gagner en performance et en agilité dans leur traitement et leur exploitation, de plus en plus d’entreprises basculent leurs données et leurs applications dans le Cloud. Dans ce contexte, les entreprises doivent être particulièrement vigilantes sur la localisation de leurs données et les règles de sécurité appliquées par leur fournisseur Cloud. Elles peuvent ainsi profiter d'un Cloud souverain beaucoup plus sécurisé pour leurs données d'entreprise.

La localisation des données : un choix important pour l’entreprise 

Malgré sa dimension virtuelle ou immatérielle pour l’entreprise, le Cloud repose bel et bien sur du matériel physique. Et ce matériel physique peut être localisé n’importe où dans le monde. Or tous les pays n’ont pas la même législation et la même réglementation vis-à-vis des datacenters. La protection de vos données, mais également vos droits et devoirs associés varient donc selon la localisation de vos données. Par exemple, le Patriot Act aux Etats-Unis permet aux autorités américaines d’accéder aux données des sociétés sans les en informer et donc sans l’autorisation du propriétaire.

La France et l’Union Européenne proposent un cadre légal très strict et très protecteur concernant l’hébergement des données. En 2018, la réglementation européenne sur la protection des données personnelles (RGPD) est entrée en vigueur et impose des règles communes à l’ensemble des entreprises. D’ailleurs, l’hébergement de données personnelles de vos clients hors de l’Union Européenne peut dans certains cas nécessiter la signature d’un contrat de transfert voire une autorisation préalable de la CNIL.

Au-delà du cadre légal et de ses risques potentiels pour l’entreprise, le choix de la localisation des datacenters qui hébergent les données de l’entreprise a également une incidence forte sur la performance des communications (accès aux données).

Le choix d'un Cloud Souverain

Les entreprises peuvent faire appel à un Cloud Privé interne pour l'hébergement de leurs données. Cependant, cette solution impose de lourds investissements en infrastructure et en personnel (pour la maintenance notamment). C'est ainsi que les entreprises font appel à des Data Centers français pour plus de sécurité pour la protection de leurs données : c'est le principe du Cloud Souverain. 

Au-delà de la localisation de ses données dans le Cloud, l’entreprise doit veiller aux règles et dispositions de sécurité appliquées par son fournisseur 

Il est tout d’abord important de demander à son fournisseur les précautions qu’il a mises en place pour se conformer à la législation en vigueur dans le pays où sont localisés ses datacenters.

Au-delà de ces précautions, il est important d’évaluer sa politique de sécurité : transparence des informations, sécurisation et cryptage des échanges de données, performance des datacenters, localisation des back-ups, conditions de reprise et de réversibilité des données…

Mais cette évaluation de la politique de sécurité du fournisseur n’est pas toujours simple pour l’entreprise. Comment s’y retrouver ? Un bon indicateur permettant d’attester de la mise en place d’une vraie politique de sécurité par le fournisseur Cloud est la certification ISO 27001.  En effet, la norme ISO 27001 pose un ensemble de pratiques, de processus, de documentation, qui permet de garantir le repsect de bonnes pratiques en termes de sécurité par la mise en place d’un véritable système de gestion de la sécurité. Ces éléments sont ré-évalués chaque année dans le cadre d’audits conduits par des organismes externes dans la perspective de reconduire la certification. C’est donc un véritable gage pour l’entreprise, qui s’inscrit dans la continuité et l’amélioration permanente de la gestion de la sécurité.

L’entreprise doit cependant être particulièrement vigilante à l’égard du périmètre couvert par la certification du fournisseur Cloud. En effet, si la majeure partie des Datacentres Français ont reçu cette certification, cela ne présuppose pas de la certification des services opérés. L’idéal est que la certification ISO 27001 couvre non seulement les datacenters, mais également l’ensemble des services d’exploitation et d’infogérance associés.

FIDUCIAL Cloud est un opérateur Cloud & Réseaux Made In France (hébergement, exploitation et infogérance localisés en France) et certifié ISO 27001. En savoir plus

Interview de Samuel Gautier (Directeur Général de FIDUCIAL Cloud) 

Posts à l'affiche

Le bureau virtuel dans le Cloud : VDI 1.0

18/05/2018 | Stéphane Prunier