Passer au contenu

Les risques adressés par le Cloud de Confiance

Ambroise Lelievre et Camille Sebire
25 octobre 2022

Afin de bénéficier des avantages de performance et d’innovation du cloud, les organisations se doivent d’acquérir une compréhension fine des risques associés à l’usage du cloud dans un contexte économique et réglementaire mouvant.

Ces risques se structurent notamment autour d’une problématique centrale pour les Etats et les entreprises : celle de la souveraineté numérique. Si les perceptions de la souveraineté varient largement entre les pays et même certaines industries, l’enjeu phare reste de trouver un équilibre entre gains de performance, innovation et maîtrise des principaux risques tels que rappelés ci-dessous.

Les risques légaux

L’écosystème cloud évolue dans un paysage réglementaire et juridique complexe. Les Etats légifèrent depuis plusieurs décennies sur le traitement et l’hébergement de données personnelles et industrielles dans le cloud. Les administrations et entreprises s’engagent alors dans une bataille normative qui leur impose de concilier souveraineté et innovation. En ce sens, les risques légaux se structurent autour de deux grands enjeux liés à la donnée :

  • Les transferts de données non maîtrisés en dehors de la juridiction nationale. A titre d’exemple, deux accords sont successivement venus encadrer ces transferts entre l’Union Européenne et les Etats-Unis afin de définir des principes de respect de la vie privée : le Safe Harbor et le Privacy Shield. Ils ont été invalidés à tour de rôle par la CJUE[1] (arrêts Schrems I & Schrems II) car jugés non-conformes avec la vision européenne de protection des données personnelles (et notamment le RGPD[2]). En mars 2022, la Commission Européenne et les Etats-Unis ont convenu d’un accord de principe « sur un nouveau cadre transatlantique de protection des données personnelles »[3] afin d’apporter une réponse au flou juridique laissé par ces invalidations. Dans cette continuité, le décret exécutif signé par Joe Biden le 07 octobre 2022 devrait s’ensuivre d’une validation par la Commission Européenne au cours des prochains mois.[4]
  • La captation de données par un organisme étranger, via l’usage d’un outil extraterritorial par un état. L’extraterritorialité peut être définie comme l’exercice d’une autorité législative au-delà de son territoire ; dans notre contexte, cela signifie la capacité d’un Etat « non européen d’accéder à tout ou partie des données et des traitements hébergés par un offreur »[5]. C’est ce que permet notamment la loi américaine CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – sous certaines conditions néanmoins strictes. Dans une autre mesure, les amendements de la section 702 du FISA (Foreign Intelligence Surveillance Act) – aussi visés par l’arrêt Schrems II en 2020 – constituent un risque d’ingérence sur des données européennes.

Les risques opérationnels

Cette catégorie englobe tous les risques liés à la restriction éventuelle d’accès aux services cloud. Du fait de leur nature stratégique et/ou régalienne, certaines organisations ne sont pas en mesure d’accepter d’éventuels incidents ou défaillances, ces derniers pouvant avoir « un effet disruptif important sur la fourniture »[6] de leurs activités stratégiques (e.g., secteurs d’importance vitale comme l’énergie, l’industrie ou la santé). La dépendance à une technologie ou à des services cloud non nationaux accentue ainsi fortement les risques de restrictions de services indépendamment de leur volonté, notamment en cas de tensions et de crises géopolitiques. Ces éléments conjoncturels ont pour effet d’accélérer les réflexions des Etats et gouvernements à ce sujet. A titre d’exemple, le contexte de guerre en Ukraine a accéléré les réflexions des Etats européens sur « la résilience des infrastructures télécoms et la protection du cyberespace européen ».[7] Les entreprises et administrations devraient prochainement pouvoir inclure les fruits de ces réflexions afin de mieux appréhender ces incertitudes.

Les risques de sécurité

La notion de souveraineté doit nécessairement inclure la capacité à utiliser des services cloud de manière sécurisée afin de contrer différents niveaux de menaces : activistes, cybercriminelles et étatiques. On distingue :

  • La sécurité du cloud, qui fait référence aux capacités de sécurité amenées par le Cloud Service Provider (CSP). Le recours à des services cloud certifiés peut permettre de garantir cet aspect (à titre d’exemple, c’est particulièrement le cas de la qualification SecNumCloud en France).  

Cette catégorie inclut également les risques physiques de perturbations liés à la chaîne d’approvisionnement des services et des composants d’infrastructure qui exposent les organisations à des failles de sécurité multiples (sans compter l’instabilité opérationnelle qu’induit la dépendance à des fournisseurs étrangers). La non-maîtrise des équipements physiques et serveurs doit être également être considérée, afin de limiter le risque d’exposition à des activités d’espionnage.

  • La sécurité dans le cloud, qui fait référence aux dispositifs adoptés par les organisations clientes elles-mêmes pour sécuriser les données hébergées et traitements exécutés dans le cloud. Ces dispositifs peuvent soit être totalement à la charge du client (ex : chiffrage des données externe), soit sur un modèle de responsabilité partagée (le fournisseur met à disposition des services de sécurité qu’il convient au client de configurer et d’opérer). 

Les risques économiques

L’espionnage industriel[8] visant à acquérir des données stratégiques fait également courir d’importants risques économiques aux organisations[9]. En parallèle, le manque de transparence de certains services cloud aujourd’hui cristallise les inquiétudes quant à la captation de la valeur dans un contexte de marché dominé par des acteurs principalement américains. Certaines industries et administrations étatiques peinent aujourd’hui à développer des cas d’usages innovants tout en garantissant la protection et confidentialité de leurs « données sensibles » dû au manque de solutions de confiance – ce qui impacte leur niveau de compétitivité. Le manque de réversibilité et de portabilité s’avère également être un frein dans l’exploitation de la valeur de ces données via des services cloud. Enfin, les risques économiques sont également liés au risque de non-conformité légale et réglementaire ; à titre d’exemple, une situation de non-conformité au RGPD peut induire des sanctions financières s’élevant jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise.[10]

Les risques réputationnels

Ces risques concernent toute potentielle dégradation d’image causée par l’interruption d’un service, qu’elle soit fortuite (ex : désastre naturel) ou causée (ex : cyberattaque). Ils sont exacerbés par la dépendance technologique et économique à des acteurs étrangers. Ces risques sont également accrus en Europe où les citoyens sont sensibles à la gestion de leurs données et à la protection de leur vie privée.

Plusieurs étapes sont à envisager afin de trouver l’équilibre permettant de tirer profit du cloud en confiance.

En premier lieu, les organisations doivent prendre connaissance de toutes les exigences en matière de conformité imposées par leur pays ainsi que celles applicables à leur secteur d’activité[11]. Nous pouvons définir la conformité du cloud comme le respect des normes de traitement et d’hébergement issues des lois et règlements locaux (ex. LPM[12]), européens (ex. RGPD) et sectoriels (ex. cas spécifique des données de santé). Il est également impératif d’identifier et de comprendre les risques d’être soumis à des réglementations à portée extraterritoriale (par exemple, si les données sont hébergées au sein d’un cloud détenu par une société étrangère). Au vu du caractère mouvant des régulations, une veille doit être instaurée afin de maintenir la conformité dans le temps. Cette phase doit être soutenue par une expertise juridique.

Ensuite, la réflexion doit tendre vers la définition d’un périmètre éligible à la migration dans un cloud de confiance. Cette étape de fléchage doit être construite conjointement avec plusieurs acteurs de l’organisation (incluant les équipes métiers & IT), dont les CDOs & DPOs (Chief Data Officers & Data Protection Officers) et doit s’intégrer pleinement au sein d’une stratégie hybride et multicloud plus large. La classification des données doit prendre en compte deux principaux éléments : les risques de plusieurs natures (cités ci-dessus) et le niveau de sensibilité des données (ex. données confidentielles). Cette réflexion doit être tirée par des cas d’usages métiers qui pourraient être permis ou facilités par l’adoption de services cloud de confiance.

C’est à la suite de cette réflexion que le choix des offres cloud les plus adaptées peut être réalisé, en phase avec les contraintes de sécurité (accès aux données, techniques d’encryption, management des clés), de souveraineté (restrictions de localisation, technologie utilisée, gestion des opérations, résilience), et l’ambition d’innover (catalogue de services, écosystème de partenaires, etc.). La transformation vers le cloud de confiance doit également inclure un arbitrage comprenant les contraintes liées à une architecture multicloud ou hybride, incluant les enjeux d’interopérabilité, d’interconnexion, de conformité « bout-en-bout » et les coûts associés[13].

Le cloud de confiance permet ainsi d’apporter une réponse de mitigation à ces différents risques interconnectés, tout en permettant aux entreprises et administrations de bénéficier de l’état de l’art technologique impliquant innovation, vélocité et performance.

[1] Cour de Justice de l’Union Européenne
[2] Règlement General Sur La Protection Des Données
[3] Déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles, 25 Mars 2022
[4] FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework
[5] Panorama De La Menace Informatique 2021, ANSSI
[6] ANSSI
[7] Cybersécurité, résilience des réseaux télécoms : la stratégie de l’UE précipitée par la guerre en Ukraine- https://www.bercynumerique.finances.gouv.fr/
[8] Ibid
[9] Principaux incidents dans l’UE et dans le monde – ENISA, 2020
[10] CNIL
[11]  The Journey To Cloud Sovereignty – Assessing cloud potential to drive transformation and build trust, Capgemini Research Institute, 2022
[12] Loi de Programmation Militaire, 2013
[13] The Journey To Cloud Sovereignty – Assessing cloud potential to drive transformation and build trust, Capgemini Research Institute, 2022

Auteurs

Ambroise Lelievre

Directeur Business Technology – Capgemini Invent
Directeur au sein de la division Business Technology de Capgemini Invent France, Ambroise Lelièvre accompagne ses clients dans leurs programmes de transformation technologique, principalement pour les Banques et les Assurances. Il couvre notamment les sujets tels que la migration vers le Cloud, la mise en place de plateformes digitales (API) et la convergence de SI. Au sein de la tribu Cloud, il co-pilote également la création d’une offre Cloud Souverain / Cloud de Confiance pour le marché français

Camille Sebire

Consultante offre Cloud Souverain/Cloud de Confiance – Capgemini Invent
Camille Sebire est consultante au sein de la Division Business Technology chez Capgemini Invent. Elle accompagne ses clients dans leurs projets de transformation technologique et contribue à la création de l’offre Cloud Souverain / Cloud de Confiance pour le marché français.