Le concept de souveraineté des données désigne le contrôle juridique, technique et politique qu’un pays, une organisation ou un individu exerce sur les données qu’il produit ou détient, notamment en ce qui concerne leur localisation, leur traitement, leur accès et leur protection. Dans l’actuel contexte de mondialisation numérique, la souveraineté des données est un enjeu stratégique. Elle vise à garantir que les données restent sous le contrôle des entités ou des États qui les produisent, même lorsqu’elles sont stockées ou traitées à l’étranger.

Dans ce cadre, comment les organisations internationales dotées de multiples filiales peuvent-elles s’assurer de la souveraineté de leurs données ? Comment, lorsqu’elles travaillent avec des prestataires du monde entier, peuvent-elles conserver un niveau de sécurité optimum de leurs données ?

Avec la transformation numérique, accélérée par l’intelligence artificielle, les entreprises sont confrontées à des décisions technologiques de plus en plus complexes, parmi lesquelles la question de la protection de leurs données selon le modèle adopté. Comment choisir entre SaaS et on-premise ? Le faut-il ? Une interrogation d’autant plus prégnante dans les secteurs sensibles et les industries stratégiques qui ont érigé la souveraineté des données en priorité.

Remise en perspective de ces deux modèles

Observons consécutivement le modèle SaaS et celui de l’on-premise. L'adoption du modèle SaaS offre de nombreux avantages, tels que l'évolutivité, la flexibilité et la réduction des coûts d'infrastructure. Cependant, il présente des risques de cybersécurité spécifiques liés à la gestion et à la protection des données des organisations (violation de données, sécurité des API, gestion des identités et des accès – manque de visibilité et de contrôle, conformité et réglementation, risque lié au fournisseur). Il est clair que pour des secteurs sensibles comme la défense, l’énergie, etc, où la sécurité des données est stratégique, un tel modèle ne correspond pas aux exigences strictes de ces secteurs, où tout doit être
rigoureusement contrôlé.

Au cœur des exigences de souveraineté, les entreprises et collectivités se doivent de conserver un contrôle total sur leurs données sensibles, souvent pour des raisons de sécurité nationale ou de compétitivité stratégique. Pour autant, ces secteurs doivent-ils renoncer aux avantages d’un modèle SaaS ?

Face aux atouts du SaaS, qui simplifie l’usage des technologies en termes d’accès, de sécurité, de flexibilité et d’accessibilité, ainsi que le stockage des données, leur sauvegarde et le partage de fichiers – le tout en mode collaboratif, l’option on-premise est souvent perçue comme moins agile ou plus coûteuse.

L’on-premise présente aussi des risques de cybersécurité bien spécifiques comme la gestion des patchs et des mises à jour, la sécurité du réseau, la gestion des identités et des accès aux couches basses, la sécurité des données et des applications, la conformité et la réglementation. Cependant, malgré ces risques, ce modèle dispose d’avantages incontestables. Il offre un contrôle complet sur les données, une personnalisation fine des protocoles de sécurité, et une plus grande autonomie vis-à-vis des fournisseurs tiers, soit autant de critères essentiels pour garantir la résilience des opérations et la sécurité des informations sensibles dans ces environnements à haut risque.

Cependant, cette approche nécessite des investissements significatifs en termes d’infrastructure, de gestion des ressources et de mise à jour des systèmes de sécurité. Des coûts qui peuvent constituer un frein dans la planification stratégique à long terme de ces secteurs et les inciter à rechercher des alternatives.

Vers une solution hybride

La plateformisation de la sécurité, qui vise à proposer des solutions de cybersécurité flexibles et évolutives, s’impose progressivement comme une orientation stratégique. Toutefois, répondre pleinement aux exigences de souveraineté reste un défi majeur pour de nombreux acteurs, en particulier ceux qui ne disposent pas d’infrastructures locales ou d’un contrôle complet sur les flux de données. À ce jour, seuls quelques fournisseurs, principalement enracinés localement, ont réussi à structurer des offres conformes à ces attentes strictes.

Les initiatives en matière de cybersécurité (stratégie européenne de cybersécurité, directives NIS 2) et de régulations (RGPD entre autres), obligent les secteurs stratégiques à intégrer ces exigences dans leurs choix technologiques. La mise en œuvre d’une stratégie de souveraineté numérique implique non seulement la gestion interne des données sensibles, mais aussi le recours à des solutions de cybersécurité conformes aux standards nationaux et européens.

L’enjeu majeur pour les entreprises des secteurs stratégiques est désormais de concilier l’agilité des modèles cloud avec les impératifs de souveraineté des données. L’optimisation de leur cybersécurité repose sur la capacité à combiner des solutions on-premise robustes avec l’agilité et l’évolution rapide des modèles SaaS, tout en assurant une gouvernance des données qui respecte les priorités stratégiques des entreprises. Une évolution que les acteurs du marché doivent avoir anticipé pour soutenir les entreprises et organisations. La promesse d’un modèle hybride, alliant sécurité et souveraineté, est désormais une réalité incontournable pour répondre aux besoins des secteurs stratégiques.

Par Pierre de Neve, Hybrid Cloud Security Leader chez Trend Micro

ARTICLES SIMILAIRESPLUS DE L'AUTEUR