Un virage généralisé vers le Cloud
Les approches multi-Cloud et Cloud hybrides se sont largement répandues ces dernières années. Il faut dire qu’elles présentent de nombreux avantages : déploiement flexible des capacités de stockage, services à la demande, utilisation des communications unifiées via les serveurs Cloud, etc. Le basculement peut toutefois créer un sentiment de « dépossession » des données, ou de risque accru, spécialement à l’heure de l’encadrement plus strict de la gestion des données utilisateurs. Les serveurs des fournisseurs Cloud sont dans le même temps régulièrement ciblés par les hackers. La question légitime et stratégique que peut se poser votre DSI est donc : du point de vue du GDPR, y a-t-il vraiment un risque plus grand à basculer ses données dans le Cloud ?
Une migration peut en réalité s’avérer moins risquée que de conserver les données dans vos propres serveurs. D’autant plus qu’accélérer cette migration permet d’être plus rapidement en phase avec le GDPR. À condition bien sûr d’être suffisamment au point sur les normes de sécurité pour se tourner vers les prestataires qui respectent les plus pertinentes. D’où la nécessité d’allouer une part de son budget GDPR à la migration des données dans le Cloud tout en menant une réflexion approfondie autour du choix du prestataire.
De l’importance du bon prestataire
« Le passage dans le Cloud est une opportunité pour se mettre plus aisément en conformité avec le GDPR », confirme Cédric Prévost, Directeur Sécurité d’Orange Cloud for Business. « Mais uniquement lorsque le fournisseur présente de réelles garanties, entretient ses certifications et apporte l’accompagnement adéquat en architecture et en cybersécurité. Dans le cas contraire, passer dans le Cloud augmente les risques. »
Pour véritablement vous épauler sur le GDPR, le prestataire Cloud doit disposer d’un support humain local, d’une expertise reconnue dans la gestion opérationnelle post-migration et surtout de moyens de sécurité éprouvés. Afin de garantir la souveraineté des données, un bon prestataire Cloud permet également au client de choisir la zone géographique dans laquelle sont hébergées ses données, même si ce dernier réalise des opérations de l’autre bout du monde.
L’acquisition de ces compétences est un véritable enjeu business pour les fournisseurs : selon une enquête Markess de 2017, 65 % des CIO choisissent des prestataires Cloud disposant de garanties en adéquation avec le GDPR.
Comment faire son choix ?
Les compétences pour gérer les environnements dans le Cloud sont spécifiques et rares, des garanties du fournisseur sont donc nécessaires. Pour bien choisir, votre entreprise doit mener l’enquête en interrogeant le fournisseur sur différents points : dispose-t-il dans ses équipes de spécialistes de la sécurité à même de vous conseiller sur l’aspect sécurité/protection des données lors des migrations Cloud ? Peut-on ajouter un niveau de sécurité supplémentaire sur sa plateforme d’hébergement ? Dernier point important : vérifier ses certifications de sécurité et les systèmes de sécurité lui ayant permis d’obtenir ces certifications. Si le GDPR ne met aucune norme de sécurité en avant, certaines certifications apportent de fortes garanties en termes de qualité et de sûreté des serveurs Cloud : ISO 27001, ISAE 3402 type II (SOC 1), SecNumCloud (ANSSI)… Les experts d’Orange participent par exemple aux travaux de l’AFNOR et de l’ISO et notamment à l’élaboration de la norme ISO/CEI 27018 pour la protection des données personnelles dans les services de Cloud Computing.
>> Le GDPR met en lumière l’un des grands défis de l’entreprise d’aujourd’hui : la capacité à gérer sereinement des données hébergées dans le Cloud ou encore dans les terminaux des collaborateurs nomades. D’ailleurs, êtes-vous certains d’avoir toutes les clés pour dominer votre flotte de mobiles ?