Confidentialité des données : que peut-il arriver lors de l’externalisation ?
Un niveau de risque qui évolue en fonction du choix de l’hébergement
Le stockage et le traitement des données d’une entreprise peuvent s’effectuer de plusieurs manières :
- L’entreprise conserve l’intégralité du stockage et de la gestion de ses données en interne.
Si cette solution limite les risques en matière de sécurité des données, elle nécessite cependant des ressources et des compétences pointues en interne pour assurer le maintien en condition opérationnelle des installations. Les coûts cachés et réels peuvent être élevés dans ce type de configuration. Toutes les structures ne peuvent pas le supporter.
- L’entreprise externalise ses infrastructures dans un data center.
Dans ce cas-ci, l’hébergeur veille au bon fonctionnement des installations (alimentation électrique, refroidissement des appareils, sécurité des locaux, etc.). Bien que physiquement à l’extérieur des murs, les machines et les données restent la propriété de l’entreprise. Si cette solution est un bon compromis entre le coût et la sécurité, il convient de s’assurer par des audits réguliers que les flux d’informations transitent en toute sécurité entre l’hébergeur et l’entreprise cliente.
- L’entreprise décide de faire appel à une solution de type « cloud »
Les infrastructures (machines, réseaux) appartiennent au prestataire (Amazon, Google, Microsoft Azure, etc.). L’entreprise accède à ses données via des connexions réseaux publics (Internet) ou privées. Ce mode d’hébergement est censé être sécurisé. Mais techniquement, rien n’empêche le prestataire de services de consulter les données qui transitent sur ses propres infrastructures. Il faut également savoir que selon le pays où se trouvent physiquement les serveurs, certaines législations autorisent les gouvernements à avoir un droit de regard sur les données stockées.
Comment garantir technologiquement la sécurité des données ?
Une première manière de faire est d’utiliser la technologie VPN IPSec. Bien que les données transitent sur le réseau Internet classique, le VPN IPSec crée un « tunnel » sécurisé entre deux ordinateurs distants. Les données sont chiffrées et ne peuvent être déchiffrées que par le destinataire final (on parle dans ce cas de principe de confidentialité). Par ailleurs, il est impossible de modifier la donnée pendant et après sa transmission (on parle alors de principe d’intégrité).
Une deuxième solution est d’utiliser des réseaux privés dédiés de type MPLS. Considéré comme l’une des technologies de sécurisation des données les plus performantes, le VPN IP MPLS est également l’une des plus onéreuses. Contrairement au VPN IPSec, le MPLS n’utilise pas le réseau Internet classique. Il est géré de bout en bout par un opérateur unique qui se charge de sa sécurisation. Ultra sécurisé, le MPLS se destine davantage à des applications métiers lourdes ou sensibles qui ne doivent pas souffrir d’éventuelles fluctuations du débit Internet, comme ce serait le cas avec le VPN IPSec.
Comment s’assurer de la fiabilité de l’hébergeur ?
Outre l’expérience et l’image de marque d’un hébergeur, certaines vérifications simples permettent de s’assurer que la prestation répond aux normes les plus exigeantes en matière de sécurisation des données :
- Le niveau des technologies utilisées pour transmettre et stocker l’information. Quel que soit le type d’externalisation choisi, les machines et les infrastructures réseau doivent être de qualité et maintenues en condition opérationnelle, afin d’éviter les dysfonctionnements ou les incidents de sécurité.
- Le niveau des technologies utilisées pour assurer la sécurisation intégrale des données. Outre la qualité des infrastructures, l’hébergeur doit présenter de manière détaillée les process de sécurisation indispensables (firewalling, cyber-sécurité…).
- Le cadre juridique et le contexte politique de l’hébergeur. Même si le prestataire vous assure de la qualité de ses infrastructures et des différentes technologies utilisées, veillez malgré tout à vérifier le cadre législatif dont dépend l’hébergeur. Il est préférable de s’assurer de la compatibilité de ce cadre avec les réglementations relatives à votre entreprise.
La France est réputée pour la qualité des technologies utilisées dans la gestion et la sécurisation des données. La mise à jour régulière du cadre légal de la protection des données personnelles et les niveaux élevés de certifications contribuent à démontrer le niveau d’engagement des prestataires d’hébergement de données français.
Les différents niveaux de prestations d’hébergement et de transit de l’information permettent de trouver la solution d’externalisation idéale. L’arbitrage doit être fait selon le type d’activité de l’entreprise cliente, du niveau de disponibilité des infrastructures réseau et de la sensibilité des données. En cas de doute, n’hésitez pas à réaliser des audits réguliers sur les niveaux de sécurité offerts par les différents prestataires.