La souveraineté des données est une question centrale pour les entreprises, notamment dans le cadre de la structuration d’une cellule de veille. En l’espèce, si certaines certifications peuvent se révéler opportunes, c’est en étant pragmatique que l’on peut efficacement se prémunir contre une fuite.
Par Arnaud Marquant, Directeur des opérations chez KB Crawl SAS
Au regard du contexte international et des évolutions récentes des équilibres géostratégiques, on aurait tendance à penser que la souveraineté de la donnée est un point particulièrement visé par les entreprises en quête d’une solution de veille : il n’en est rien. Cette souveraineté est en effet un point qui a toujours été essentiel pour les organisations, quel que soit leur secteur d’appartenance ou leur taille.
Assurer son espace de stockage
La souveraineté de la donnée fait écho à un ensemble d’éléments. Elle est intimement liée à l’origine de la data ainsi qu’à ses modalités de stockage. La donnée doit appartenir à l’entreprise qui la génère, et ne doit subir aucune fuite de l’espace où elle se trouve stockée. C’est un premier niveau de compréhension du sujet, qui s’articule à un second : la localisation exacte de l’espace qui contient cette data. Où se situe celle-ci : en France ? Au sein de l’Union Européenne ? Hors Union Européenne ? On comprend ici que les organisations préfèreront que leurs données soient stockées au sein de l’Hexagone, avec quelques assurances complémentaires. Ainsi, afin de sécuriser au maximum l’intégrité de la donnée, il peut être important de la stocker sur deux serveurs distincts. Si l’un d’entre eux est attaqué, altéré ou détruit, l’autre joue en quelque sorte le rôle de coffre-fort supplémentaire. Pour synthétiser sur ce point, l’on pourrait dire que les organisations sont en recherche de maîtrise et de sécurité.
Des actes simples
En France, cette maîtrise et cette sécurité s’inscrivent dans le cadre d’une politique publique dont la vitrine est l’Anssi, l’agence nationale de la sécurité des systèmes d’information. Celle-ci prend de plus en plus de poids en matière de souveraineté des données. Pour elle, en toute logique, la lutte contre le cyberterrorisme et la cybercriminalité passe par la protection des intérêts des entreprises qui constituent le patrimoine économique français. À cet effet, l’agence de l’Etat développe des réponses évolutives, mais également tout un ensemble de process qui, parfois, peuvent se révéler lourds. C’est le cas par exemple de la certification Opérateur de sécurité du Cloud, qui est appliquée aux éditeurs de solutions alors même que les entreprises clientes elles-mêmes ne demandent pas une telle assurance. Gare ici à l’excès de procédures, dont la portée n’est pas toujours évidente à comprendre dans un marché mondialisé…
En réalité, la souveraineté de la donnée s’effectue surtout par des actes simples, le plus souvent méconnus du grand public et donc des hackeurs potentiels. Pour vivre heureux, vivons cachés ! Et soyons également très pragmatiques.
En matière de veille, c’est sur la notion d’enrichissement qu’une attention doit être spécifiquement portée. En diffusant certaines informations au cœur de leur organisation, nombre de veilleurs commentent et analysent l’information. Ils peuvent se révéler très précis, notamment lorsqu’ils s’adressent à des publics particuliers, internes à l’entreprise. Il n’est pas rare alors qu’ils joignent à l’information transmise un rapport confidentiel, une note stratégique, voire une étude ou une enquête qui n’a pas vocation à être largement diffusée. Gare à ce que de tels documents, éminemment sensibles, ne fuitent pas ! Car avec eux, c’est un peu du savoir et de la stratégie de l’entreprise qui peut se retrouver sur la place publique…