L'observatoire

Data centers : quel risque pour les données ?

Vous utilisez le cloud, les datas centers ? Voilà un service qui offre une infinie souplesse mais qui, selon la DGSI*, induit en contrepartie d’importants risques pour la sécurité de vos données.

 

Dans le cloud, la localisation des données confiées à un prestataire est souvent quasi impossible pour le client, parce que les datas centers sont localisés dans le monde entier, et que les données transitent de l’un à l’autre pour des questions de résilience ou d’optimisation des flux. La DGSI résume à travers un exemple concret les risques que peut faire courir à une entreprise l’usage du cloud : "Une société française spécialisée dans la pharmaceutique vétérinaire a choisi d’externaliser le stockage de ses données vers une solution de cloud gratuite d’un prestataire étranger. Il a alors été constaté que l’hébergeur de données étranger était soumis à une législation différente, plus souple en matière de collecte de renseignements. Cette entreprise française comptant par ailleurs parmi ses concurrents plusieurs groupes de la nationalité de l’hébergeur, la société tricolore s’expose ainsi à un risque accru d’espionnage économique de ses données stratégiques."
Ces données sont en effet susceptibles de faire l’objet d’interceptions ou de captations, précise la DGSI, "à tout moment de leur cycle de vie (au cours de leur acheminement sur Internet, durant leur stockage sur des serveurs à distance, lors du transfert au sein d’un autre centre de données, etc.)".
Or, les serveurs situés à l’étranger sont soumis à la réglementation des États qui les hébergent. Les législations de la plupart des pays prévoient ainsi la possibilité, pour les services de police et de sécurité, d’accéder aux données hébergées sur leur territoire. Certaines autorités peuvent même invoquer un motif de sécurité nationale, ou d’autres impératifs d’ordre public, pour justifier l’accès aux données des clients des prestataires.

Comme elle constate que les risques restent encore largement sous-estimés, la DGSI publie des recommandations pour tenter de limiter les risques de captation du "patrimoine informationnel" des entreprises utilisant les datas centers / le cloud.

•  Accorder une attention particulière aux conditions générales de vente et d’utilisation, s’agissant des centres de données localisés sur le territoire national. Il convient, pour les entreprises, de s’assurer que le contrat ne permet pas le transfert des données hébergées en France vers un pays tiers.

• Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.

• Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.

• Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.

• Procéder systématiquement au chiffrement de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.

• Limiter les droits des utilisateurs des services dans le nuage, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les logs de connexion et assurer une gestion rigoureuse des droits d’accès pour éviter toute usurpation d’identité.

• Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.

• Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.

 

En savoir plus

https://www.entreprises.gouv.fr/information-strategique-sisse

 
* DGSI : Direction générale de la sécurité intérieure