Avec le Cloud et l’arrivée du RGPD, les entreprises européennes doivent organiser le traitement et le stockage de leurs données dans un environnement serein. Ceci, sur le territoire européen. Or, avec le Cloud Act américain, ladite sérénité est mise à rude épreuve.

Sans entrer dans des détails trop techniques, le Cloud Act américain voté en mars 2018 est l’acronyme de « Clarifying Lawful Overseas Use of Data Act ». Il s’agit d’une loi qui autorise le gouvernement fédéral américain à analyser les données contenues sur tous les systèmes de traitement et stockage de données situés dans le monde entier. Ceci, du moment que les compagnies qui hébergent ces données sont d’origine américaine. Cela implique que les clients de ces hébergeurs peuvent être bien évidemment de n’importe quelle nationalité, y compris française. Le FISAA (Foreign Intelligence Surveillance Act), est une loi elle aussi américaine. Elle est reconduite pour 5 ans. Elle se destine à autoriser la surveillance des citoyens non américains par les services de renseignement américains. C’est la cerise sur le gâteau.

Réfléchir à une solution RGPD écartée des risques du Cloud Act

Le CISPE (Cloud Infrastructure Services Providers in Europe, cispe.cloud), association créée en 2016, a été chargé de travailler sur un code de conduite relatif à la protection des données. Cela, en partenariat avec la commission européenne et les autorités en matière de protection des données. Le RGPD s’implique obligatoirement et le CISPE y ajoute de nouvelles recommandations liées au métier de l’hébergement de données.  Parmi celles-ci, la garantie de garder les données stockées et traitées en Europe. Il y a aussi l’assurance que des tiers ne puissent pas réutiliser les données. Une autre recommandation très importante : s’assurer de proposer l’infrastructure Cloud la mieux adaptée aux traitements nécessaires au client.

Une infrastructure performante physique et logique isolée en France

Etre expert dans l’IaaS (Infrastructure as a Service), service évidemment Cloud, n’est déjà pas simple. Avec les obligations du RGPD et des risques liés au Cloud Act, les choix techniques et organisationnels doivent être exemplaires. Pour de nombreuses entreprises, stocker et traiter les données en Europe semble suffisant. Pour certaines entreprises et administrations, c’est plus compliqué. Imaginer que des données confidentielles et stratégiques se consultent uniquement sur requête du gouvernement américain pose au moins un problème éthique. Certains hébergeurs français proposent des solutions étanches et à l’abri des requêtes américaines.   En effet, toutes les données que l’on veut stocker sur le territoire français, même en Cloud, peuvent l’être avec l’assurance de leur confidentialité. Cela intégrant aussi leur protection physique et logique. Le tout éventuellement accompagné d’une équipe technique et support intégralement implantée en France.

Cloud et RGPD français, et redondance

Les infrastructures de stockage et de traitement en Cloud sont versatiles. Tout est faisable, mais il faut obligatoirement les sécuriser d’un point de vue physique (à la fois les bâtiments et les baies) et logiciel (usage des dernières technologies de sécurisation). Si les données ne doivent pas sortir du territoire français, et il est nécessaire de l’expliciter ici, il faut déjà que les datacenters soient en France. A partir de là, il faut au moins deux datacenters opérés en France pour qu’il y ait redondance du service et donc un maintien maximal du fonctionnement des services Cloud. Il peut y avoir des accords entre datacenters et opérateurs sur le territoire français, mais une condition d’exploitation confiée à un tiers est qu’il garantisse lui-même à 100% le service qu’il opère pour son client. Sinon, quid de la responsabilité en cas de panne qui se prolonge.

Cloud public, public et hybride

L’infrastructure Cloud d’un hébergeur est éminemment complexe. Elle se structure cependant pour proposer des services à la carte, aussi bien en mode de Cloud public, de Cloud privé ou hybride. Le Cloud privé dédie des machines à l’usage du client de manière ultra sécurisée. Le Cloud Public signifie des machines mutualisées compartimentées dynamiquement pour chaque client et accessibles de manière hautement sécurisée par chacun d’eux. L’hybride utilisant un mix des deux solutions en sachant que le cloud privé est plus cher et plus contraignant en termes d’affectation de besoins de ressources. Le Cloud public peut se limiter à l’usage sur une zone géographique définie par l’hébergeur. Un hébergeur peut proposer des services de Cloud public multiples. C’est le contrat passé avec le client qui détermine les conditions de fonctionnement des services.

Des services adaptés aux réels besoins

On peut identifier plusieurs services en matière de Cloud. Il y a le simple hébergement de site Web ; il s’installe aussi bien sur des machines mutualisées que sur des machines dédiées. Beaucoup d’entreprises délèguent totalement ce service à un prestataire. Celui-ci utilisera souvent les services d’un hébergeur tiers. Il y a aussi des services « à la carte » moins communs. Parmi ceux-ci,  les solutions de sauvegarde Cloud permettent d’externaliser la sauvegarde des données depuis l’infrastructure interne de l’entreprise. Et cela va vers une externalisation quasi-totale de l’ensemble des serveurs. Qu’il s’agisse de serveurs à base d’OS Linux et Windows Server.

Une administration des services Cloud à la carte

Quant à l’administration, elle s’organise en interne ou en externe. En interne depuis le service informatique de l’entreprise cliente. En externe, en infogérance appelée aussi administration déléguée. Même le niveau d’infogérance s’étudie à la carte. Il faut que l’équipe technique et support soit très réactive. Nombre d’infrastructures complexes externalisées et hybrides s’administrent avec des outils open source.

Le choix de l’hébergeur Cloud

On le comprend bien ici, il s’agit de bien réfléchir au choix d’un hébergeur. Confier ses données en Cloud à plusieurs tiers en fonction de la sensibilité des données et de leur traitement. Choisir ses tiers de confiance en conformité RGPD est impératif. Le besoin de conformité au RGPD n’est-il pas déjà un moyen de commencer à revoir les infrastructures ? Pour cela il faut entrer dans la démarche… en commençant par un audit. 

Olivier Pavie