Depuis plusieurs années, la cybersécurité ne repose plus simplement sur des mesures de protection contre les attaques, mais sur la capacité des entreprises à faire preuve de résilience en cas d’incident. À mesure que le paysage des menaces devient de plus en plus complexe et que les sauvegardes sont de plus en plus fréquemment ciblées par les attaquants, la capacité d’une entreprise à maîtriser ses données critiques pour reprendre son activité le plus efficacement et le plus rapidement possible est devenu un impératif incontournable.
C’est pourquoi la souveraineté des données est désormais considérée comme l’une des conditions fondamentales qui favorise une reprise d’activité rapide, tout en minimisant les risques de pertes de contrôle. En effet, afin d’éviter des interruptions et des ralentissements de l’activité coûteux, ainsi que d’éventuelles sanction pour non-conformité avec la réglementation, il est essentiel de garder le contrôle sur les données qui permettent le redémarrage d’activités après un incident. Mais une question demeure : comment garantir une véritable souveraineté des données ?
Entre malentendus et conformité réglementaire : qu’est-ce que la souveraineté ?
La résidence des données est souvent confondue avec la souveraineté. En effet, la souveraineté ne s’exerce pas seulement sur l’endroit où les données résident, mais aussi sur leur intégrité, c’est-à-dire, la capacité à garantir qu’une version authentique, non altérable, subsiste en toutes circonstances. Il s’agit également pour les entreprises de s’assurer du cadre juridictionnel dont dépendent les solutions de stockage, de conserver une maîtrise opérationnelle sur les données, notamment sur leur restauration, leur migration ou leur suppression, et de contrôler leur format et leur accessibilité. Elles doivent également s’assurer de ne pas développer de dépendance excessive envers un ou plusieurs fournisseurs qui ne dépendent pas du même cadre juridictionnel.
Ces critères correspondent à des exigences définies par les réglementations émergentes. Dans l’Union européenne (UE), le RGDP, NIS2 ou DORA exigent des acteurs concernés qu’ils sachent où sont conservées leurs données, qu’ils en garantissent la disponibilité et l’intégrité et qu’ils maîtrisent l’ensemble de la chaîne d’approvisionnement logicielle qui traite ces données, notamment les fournisseurs. Ainsi, les départements en charge de l’informatique et de la cybersécurité ne sont plus seulement les garants de la sécurité des données, mais également de la maîtrise « souveraine » d’une entreprise sur ces dernières. Ces exigences de traçabilité et les preuves de conformité devraient pousser les entreprises à veiller à ce qu’au moins une copie de leurs données critiques demeure inviolable et restaurable à tout moment.
De l’illusion au contrôle réel : vers une architecture hybride souveraine
Dans un effort pour gagner en agilité, en rapidité et en capacité de stockage, de nombreuses entreprises se tournent vers le cloud pour stocker leurs données. Mais lorsqu’une entreprise perd la maîtrise physique ou juridique de ses copies de sauvegarde, elle perd la souveraineté sur ses données, même si celles-ci sont protégées. Ainsi, dans le cas d’une entreprise européenne qui ferait appel à un cloud situé hors de l’UE, la reprise d’activité après un sinistre repose sur le bon vouloir et les conditions réglementaires d’un acteur qui n’est pas soumis à la juridiction européenne, engendrant ainsi de nombreux risques. En effet, l’entreprise doit disposer d’une autonomie opérationnelle suffisante pour restaurer, modifier, migrer, voire supprimer ses données. De plus, il existe des différences importantes entre les exigences du Cloud Act américain, par exemple, et celles de la réglementation européenne.
C’est pourquoi il est essentiel d’avoir recours à des architectures hybrides qui allient la puissance et l’agilité du cloud avec des solutions locales sur site qui garantissent l’immuabilité absolue des données et assurent qu’elles restent disponibles, même en cas d’incident externe. Le cloud tient ainsi le rôle de stockage capacitif de long terme, tandis que le stockage local immuable s’établit comme le socle de confiance qui garantit l’intégrité et la conformité des données. Une véritable hybridation maîtrisée de ces technologies permet ainsi d’associer performance, conformité et autonomie opérationnelle.
La souveraineté partagée est l’avenir de la résilience numérique
La souveraineté numérique de demain se mesurera à la capacité de chaque entreprise à préserver une source de vérité unique et inaltérable pour ses données, à travers une solution de stockage immuable sur site et localisée au sein de la juridiction appropriée, sans dépendance à un fournisseur externe. Les réglementations nationales et régionales, en particulier dans le secteur public ou des domaines fortement réglementés, comme les services financiers ou la santé, se concentrent de plus en plus sur le fait d’associer résidence des données et autonomie opérationnelle.
Il s’agit pour les acteurs de s’assurer qu’ils ne perdent pas le contrôle sur leurs capacités de restauration de leurs données critiques en cas d’incident, simplement parce que celles-ci sont conservées ou gérées par un fournisseur qui ne dépend pas de leur juridiction nationale ou supranationale. C’est pourquoi les entreprises se tournent de nouveau vers des architectures hybrides souveraines, afin de profiter des avantages du cloud, tout en s’assurant que leur résilience et leur conformité réglementaire est garantie par une solution de stockage immuable gérée localement.
Par Daniel Fried, Vice-président senior des ventes EMEA chez Object First
