PROTÉGER SES DONNÉES : ATTENTION AU CLOUD ET AUX DATA CENTERS ! | FNTP
La FNTP
La FNTP
La Fédération Nationale des Travaux Publics agit au service de ses 8 000 entreprises adhérentes avec son réseau de Fédérations Régionales et de Syndicats de Spécialités
Infodoc
Infodoc
Toute l’information de référence et l’actualité réglementaire et technique utile à l’entreprise de Travaux Publics
Guide pratique sur la sous-traitance dans les marchés de travaux 2023
Outils
Outils
Des outils interactifs pour faciliter la vie des entreprises et des donneurs d’ordre
Dossiers
Dossiers
Tous les dossiers d'information sur les actualités utiles à l’entreprise de Travaux Publics.
Retour

Protéger ses données attention au cloud et aux data centers

14 janvier 2021
La DGSI (Direction Générale de la Sécurité Intérieure) publie régulièrement des flashs relatifs aux actions d’ingérence économique dont les sociétés françaises sont victimes. Elle a mis en ligne en 2020 un flash dédié aux « risques liés à l’hébergement des données dans les data centers / le cloud». En voici notamment les grandes lignes.

Qu’est-ce que le Cloud ? Un data center ?                                

L’information en nuage ou cloud computing est un « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’Internet, sous la forme de services fournis par un prestataire ».

Les données hébergées dans le Cloud sont traitées au sein de centres de données ou data centers. 

Un data center est un centre d’hébergement et de traitement de données à distance abritant de nombreux serveurs et équipements informatiques, tout en garantissant une sécurité physique et une continuité d’activité.

Ces services permettent aux entreprises de bénéficier de solutions d’hébergement ou de traitement de données souples, évolutives, faciles d’emploi et accessibles en tout point du globe. La localisation exacte des données est difficile à connaître car ces dernières sont réparties dans plusieurs centres géographiques distincts.

Quels risques pour les données des entreprises ?

La gestion de ces systèmes d’information peut cependant entraîner d’importants risques pour la sécurité des données stratégiques des entreprises françaises. Les données peuvent faire l’objet d’interceptions ou de captations à tout moment, au cours de leur acheminement sur Internet, durant leur stockage sur des serveurs à distance, lors du transfert au sein d’un autre centre de données, etc.

De plus, les serveurs de centres d’hébergement situés à l’étranger sont soumis à la réglementation locale ou, parfois-même, à la réglementation des États dont dépendent les fournisseurs qui les administrent.

Quels sont les risques en cas de serveurs de données basés à l’étranger ?

Certains États utilisent une définition large des enjeux de sécurité nationale. Ils prévoient ainsi la possibilité d’accéder aux données de clients étrangers hébergées sur leur territoire par des prestataires locaux.
Cette captation d’information ne concerne pas que la lutte contre le terrorisme ou la criminalité organisée, les sociétés peuvent s’exposer à un risque accru d’espionnage économique de leurs données stratégiques.

Qu’est-ce que le Cloud Act ?

Il s’agit de la réglementation la plus connue en la matière, celle de la loi fédérale américaine du 23 mars 2018. Le Cloud Act autorise les autorités américaines à avoir accès aux données stockées dans des data centers appartenant à des sociétés d’origine américaine même si ces données sont hébergées en dehors des États-Unis. Cela correspond à la notion d’extraterritorialité.

Ce texte est de plus contraire au Règlement Général sur la Protection des Données (RGPD) dont l’article 48 prévoit l’interdiction de divulgation de données personnelles vers un pays tiers sans accord international.

Quelles préconisations de la part de la DGSI ?

  • S’agissant des data centers localisés sur le territoire national, veiller aux conditions générales de vente et d’utilisation. Le contrat ne doit pas permettre le transfert des données hébergées en France vers un pays tiers.
  • Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.
  • Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.
  • Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.
  • Procéder systématiquement au chiffrement (cryptage) de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.
  • Limiter les droits des utilisateurs des services dans le nuage, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les historiques de connexion et assurer une gestion rigoureuse des droits d’accès (ouverture et fermeture des accès) pour éviter toute usurpation d’identité.
  • Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.
  • Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.

Pour en savoir plus :