• La souveraineté des données, incontournable dans la dématérialisation des documents sensibles de l'entreprise

    Avec l'avènement de la dématérialisation et du « cloud », les données sensibles d'une organisation peuvent être, lors de leur sauvegarde distante, domiciliées à l'étranger et exposées à des risques d'espionnage ou d'actions judiciaires. Face à ce risque, la souveraineté numérique (appelée également « souveraineté des données ») vise à contrôler étroitement la localisation physique, le respect de la confidentialité et la sécurisation de tout document ou fichier stratégiques. Voici les enjeux et les « bonnes pratiques » d'un concept essentiel pour protéger durablement la gouvernance d'une organisation.

    Quels sont les enjeux de la souveraineté des données lors du transfert de fichier informatique ?

    Longtemps négligée malgré la structure décentralisée et internationale d'Internet, la souveraineté numérique devient désormais un enjeu criant pour les organisations avec la popularité croissante des systèmes d'hébergement de type « cloud ». Ces architectures mutualisées de plusieurs milliers de serveurs répartis sur toute la surface du globe entraînent un éloignement croissant entre le lieu de stockage physique des données et celui d'émission ou d'utilisation des fichiers sauvegardés. Des documents-clés sur la stratégie et le management d'une entreprise risquent donc, à l'insu des dirigeants, de se voir exposés à des législations étrangères. Celles-ci peuvent, dans certains cas (« Patriot Act » aux États-Unis...), se révéler beaucoup plus intrusives et agressives que celles du pays d'origine de la société, mettant en danger la confidentialité des affaires. Ce n’est pas le cas de la solution Leading Boards, service de digitalisation des Conseils d’Administration et des comités, qui garantit un niveau maximal de sécurité grâce au chiffrement des données et grâce à des serveurs certifiés par les normes internationales en sécurité informatique et localisés en France pour les clients européens. Ainsi, ils ne sont pas soumis au Patriot Act américain.

    Soucieuses de préserver les données sensibles de leurs concitoyens et de leurs entreprises, des nations comme la France, le Brésil et la Turquie soutiennent le développement d'hébergements « souverains ». Mais ces services, qui permettent de garantir la domiciliation des « datas » stratégiques sur le territoire national, se voient mis à mal par la puissance commerciale des principaux acteurs du secteur, en grande majorité américains.

    Face à ce constat d'échec, le recours à la réglementation apparaît comme la seule solution alternative. S'inspirant d'exigences édictées en Allemagne et d'un projet de loi français, l'Union Européenne travaille activement à une directive rendant prééminente sa souveraineté nationale pour l'hébergement de fichiers informatiques sensibles ou privés. Ces documents devraient obligatoirement faire l'objet d'un stockage sur des serveurs localisés en Europe et bénéficier d'une protection stricte en termes de confidentialité.

    Les deux points à vérifier dans un contrat d'hébergement et de transfert de fichier sécurisé

    Pour profiter des avantages d'une sauvegarde distante, mutualisée ou non, tout en maximisant les protections offertes par la souveraineté des données, deux « bonnes pratiques » sont à respecter lors de la sélection d'un hébergeur.

    La première vise à réellement connaître et choisir la localisation physique des « datas » transmises. S'il peut être difficile par le prestataire d'indiquer avec précision les serveurs sur lesquels se trouveront stockées les données, l'organisation doit néanmoins disposer d'informations claires sur les pays d'implantation des data-centers et les législations associées. Chez Equity, les données sont hébergées en France sur nos serveurs ou sur les serveurs de l’entreprise-cliente. Ainsi, toutes les données juridiques et sensibles présentes sur Visual Scope ou Visual Sign, par exemple, sont en sécurité.

    Dans tous les cas, il est très fortement conseillé de localiser les applications et les données les plus critiques dans le pays d'origine de l'entreprise ou de l'administration.

    La seconde porte sur le protocole mis en place pour sécuriser le transfert des documents stratégiques de l'organisation vers les serveurs du fournisseur. Son objectif consiste à préserver au maximum la confidentialité et à éviter l'interception des données.

    Le prestataire doit notamment proposer un chiffrement et une authentification de haute technicité, similaires à ceux utilisés dans la transmission de données bancaires. Le seul support de clés EKM (« Enterprise Key Management ») ne représente pas une protection suffisante pour garantir la gouvernance sûre et l'intégrité des données.

    En complément, les spécialistes recommandent que les opérations juridiques ou financières très sensibles (compliance...) s'effectuent impérativement sur des plates-formes électroniques spécialisées. C’est pourquoi, il est conseillé d’utiliser une solution de data room électronique telle que DiliTrust pour le partage sécurisé d’informations confidentielles dans le cadre d’une transaction ou d’un échange B2B. En effet, comme pour Leading Boards, les serveurs DiliTrust sont situés en France et ne sont pas sujets à d’éventuelles surveillances de la NSA au titre du Patriot Act américain.

    Ce type d'e-room garantit un contrôle encore plus strict des moyens techniques d'accès et des personnes autorisés.