Les outils collaboratifs comme Sharepoint ou Office 365 peuvent être utilisés à la fois en installation sur site et dans le cloud, une souplesse qui séduit les entreprises. Néanmoins, dans le cas d’un usage en mode 100 % cloud ou d’un usage hybride, des enjeux liés à la sécurité des données surgissent, en particulier en ce qui concerne les données privées de l’entreprise et de ses clients.
Dans le contexte professionnel, deux types de données ont besoin d’un niveau de protection élevé : il s’agit, tout d’abord, des données entrant dans le cadre de la CNIL, essentiellement les informations à caractère personnel.
Pour rappel, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Les données associées à un client ou à un collaborateur, identifié ou identifiable, entrent donc dans ce périmètre.
L’autre type englobe toutes les données sensibles créées et gérés au sein d’une organisation : projets R&D, plans stratégiques, informations financières…
Ces deux types d’informations peuvent transiter sur des outils hébergés sur le cloud. La question qui se pose alors est de savoir quel est le niveau de sécurité réel de ces infrastructures externalisées.
En général, si les flux de données entre l’entreprise et ces infrastructures sont sécurisés, il est plus délicat de savoir précisément ce qu’il advient, une fois qu’ils parviennent dans les datacenters des prestataires, dans lesquels ils peuvent transiter et être stockés en clair.
Un premier élément est relativement aisé à vérifier : il s’agit de la localisation des datacenters dans lesquels sont stockées les données. Pour les informations protégées par la CNIL, un emplacement européen relève de l’obligation légale.
Pour les autres données sensibles, cela peut être un facteur limitant le risque d’accès par des concurrents extra-européens – encore faut-il être sûr que toutes les données sensibles sont bien physiquement hébergées en Europe, et pas uniquement les fichiers clients.
Les grands fournisseurs de solutions cloud mettent également en avant leur conformité à des normes de type ISO 27000 ou PCI-DSS. Si ces éléments constituent un premier niveau de garantie, ils reposent cependant principalement sur du déclaratif.
Par ailleurs, cela suppose de considérer d’emblée l’ensemble du personnel travaillant dans ces data centers, employés du prestataire ou sous-traitants, comme des interlocuteurs de confiance.
Comment être certain, dès lors, que ces données stockées hors de l’entreprise ne sont pas accessibles à des tiers non autorisés ? Une approche permet de garantir le meilleur niveau de protection possible sans pour autant renoncer aux bénéfices du cloud : protéger la donnée dès sa création, au plus près de son émetteur.
Ce chiffrement à la source permet à l’entreprise de prendre en main la protection de ses données sensibles sur tout leur cycle de vie, plutôt que d’en confier certaines étapes à des tiers.