Edwin Weijdema, Field CTO EMEA et Cybersecurity Lead chez Veeam, alerte sur une vision trop restrictive de la souveraineté des données. Entre exigences réglementaires, explosion des volumes et impératifs de résilience, les entreprises doivent surtout trouver un équilibre entre contrôle et flexibilité, au risque sinon de fragiliser leurs propres capacités de reprise et de sécurité.
Depuis son émergence en 2018 avec le RGPD, la souveraineté des données est longtemps restée au second plan. Cependant, la complexification actuelle du paysage des données, des réglementations et du contexte international en fait aujourd’hui un outil stratégique pour les entreprises qui cherchent à se protéger en segmentant leurs environnements.
Les entreprises sont aujourd’hui nombreuses à admettre que la souveraineté introduit une complexité accrue dans les réglementations, avec des contraintes dépendant du type de données et de leur évolution dans le temps. Toutefois, sa mise en œuvre reste encore à un stade précoce.
Par ailleurs, la notion de souveraineté des données demeure encore incomprise. Les connexions avec la gestion des données ne sont pas toujours bien définies, ce qui complique son intégration dans la planification des activités et des risques, sans compromettre l’équilibre entre contrôle et conformité. Bien qu’exigeante, cette approche est cruciale pour les organisations souhaitant satisfaire les exigences de souveraineté des données, tout en préservant leur sécurité et les mécanismes de résilience déjà établis. Si la tâche est délicate, elle reste néanmoins réalisable.
L’omniprésence des données
Mettre en place une stratégie de souveraineté résiliente suppose en amont une bonne maîtrise des données, un objectif loin d’être simple. En 2024, le volume de données créées, collectées, copiées et exploitées a dépassé les 149 zettaoctets, avec une projection à 181 zettaoctets pour fin 2025, selon Statista. Sachant que l’IA n’était utilisée que par 19% des entreprises européennes l’an passé, il est probable que ces volumes continuent d’augmenter de façon exponentielle.
Se contenter de pares-feux ne suffit pas à assurer la résilience des données. Les entreprises doivent également s’appuyer sur des sauvegardes fiables, une portabilité souple et une gouvernance stricte sur toute la durée de vie des données. Or, face à la souveraineté des données, elles adoptent parfois des restrictions excessives qui, tout en répondant aux obligations réglementaires, affaiblissent la portabilité et la sécurité.
La résilience des données ne se limite pas aux sauvegardes, à la reprise ou à la continuité d’activité ; elle dépend aussi de leur portabilité. Il est en effet indispensable de pouvoir transférer les données vers des sites secondaires en cas de besoin. Des restrictions excessives, résultant de mesures de souveraineté mal conçues, peuvent alors entraver cette flexibilité.
La souveraineté des données ne saurait se limiter à un simple verrouillage des données au sein d’une infrastructure sur site. Cette vision apparaît d’autant plus insuffisante que de nouvelles réglementations émergent dans l’UE, comme le Data Act et l’AI Act, intégrant des exigences sur les flux de données liés à l’IA. Mettre en place une stratégie de souveraineté des données résiliente implique de prendre en compte les limites de réglementation et d’arbitrer entre ces contraintes, les conditions de résilience propres à l’organisation, son appétence au risque et ses besoins opérationnels, tout au long du cycle de vie des données. Reste à savoir comme procéder.
La souveraineté des données exige des approches sur mesure
La souveraineté des données se décline ainsi sous des formes multiples et parfois complexes. Heureusement, les entreprises désireuses de maintenir un équilibre délicat entre contrôle, coûts et agilité disposent d’un large panel de solutions parmi lesquelles choisir.
Elles peuvent toutefois se révéler contre-productives en matière de sécurité, en raison d’une portabilité des données fortement réduite. Les organisations ayant des exigences de contrôle plus souples peuvent alors privilégier des solutions de cloud souverain, hébergées par des fournisseurs. À l’inverse, lorsque le besoin de contrôle sur la localisation et la souveraineté est maximal, les solutions sur site restent la référence. Si ces solutions sont adaptées à des contextes de conformité moins stricts, la garantie que les données demeurent dans le périmètre géographique concerné reste entièrement tributaire des fournisseurs.
Afin de trouver un compromis entre ces deux modèles et de mieux adapter leurs solutions à leur situation, les entreprises peuvent opter pour des approches hybrides. Ces dernières allient l’utilisation d’environnements cloud au maintien d’un contrôle élevé. Les fournisseurs de ce type d’offres sont souvent ancrés sur des territoires spécifiques, facilitant la conformité aux exigences locales en matière de localisation des données.
Identifier ces différentes solutions ne constitue qu’un point de départ. Certaines entreprises, en raison de leurs obligations de conformité élevées, privilégieront les solutions sur site comme l’option la plus pertinente, tandis que d’autres les jugeront trop rigides et coûteuses. Il leur faut donc construire une stratégie de souveraineté compatible avec leurs mécanismes de résilience, en trouvant le bon compromis entre contrôle, coûts et flexibilité. Avant toute décision, le choix d’une solution suppose au préalable une identification précise des besoins propres à chaque entreprise, afin de garantir la souveraineté des données dans les moindres détails au long de leur cycle de vie.
Du traitement initial à la suppression des données
Chaque phase du cycle de vie des données, de la création à la suppression en incluant la collecte, l’ingestion, le stockage, le traitement et le partage, présente des défis propres en matière de sécurité et de souveraineté. Dès lors, une stratégie résiliente doit englober l’ensemble de ce cycle tout en tenant compte des changements contextuels.
Lors des phases initiales, comme la création et la collecte, il est essentiel que les stratégies de sécurité et de souveraineté intègrent les exigences liées à la documentation concernant leur captation et leur propriété. La collecte doit être conforme aux exigences légales et aux règles strictes du RGPD en matière de stockage. Celui-ci doit en outre s’appuyer sur un chiffrement solide, un contrôle des accès et une traçabilité, afin d’assurer à la fois la souveraineté et la sécurité. Durant la phase de traitement, l’audibilité des données doit être maintenue. En parallèle, les exigences de souveraineté obligent les entreprises à assurer un suivi permanent, afin de garantir une utilisation conforme aux règles juridiques et réglementaires en vigueur.
L’essor de l’intelligence artificielle laisse présager une hausse rapide des volumes de données, pouvant engendrer une forte progression des coûts. Il devient donc crucial de mettre en place des processus rigoureux pour gérer le cycle de vie des données. Ces derniers offrent aussi une vision contextuelle précieuse, permettant de savoir où se trouvent les données, comment elles circulent et comment y accéder, des facteurs déterminants pour en tirer davantage de valeur et structurer des stratégies solides de souveraineté et de sécurité. Trop d’entreprises gèrent encore leurs données dans l’urgence, en se contentant de supprimer des données dès que les capacités de stockage sont atteintes, sans distinguer leur valeur. Développer une vision contextuelle plus fine permet de prévenir ces situations et de construire des stratégies cohérentes avec les objectifs business et les contraintes réglementaires.
Intégrant sécurité et souveraineté, une stratégie des données aboutie doit s’appuyer sur l’ensemble de ces facteurs afin de trouver un juste équilibre entre les risques acceptables, les menaces, les opportunités et les retours sur investissement, avec pour finalité d’optimiser la résilience.
