Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.
SecNumCloud : une qualification de sécurité
En2016, l’ANSSI(Agence nationale de la sécurité des systèmes d’informations) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Les catégories d’audit et exigences
Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.
Parmi eux :
la mise en place de politique de sécurité du système d’information et de gestion du risque,
le chiffrement des données stockées
l’identification, la gestion et la conformité dans la relation avec les tiers
la gestion des actifs et des identités numériques et physiques
la gestion des incidents et les garanties de continuité d’activité
Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
SecNumCloud au cœur des débats sur l’EUCS et la loi SREN
La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.
Pourquoi choisir un opérateur qualifié SecNumCloud ?
Minimiser les risques de sécurité
L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque robustes, avec une attention particulière portée à l’organisation de la gouvernance interne, à la sécurité des ressources humaines impliquées, à la sauvegarde des données ou encore à la maintenance.
La qualification SecNumCloud offre ainsi des garanties fortes en matière de continuité d’activité et de disponibilité de service.
De plus, les relations avec des tiers font l’objet de mesures de sécurité strictes et spécifiques. En effet, l’opérateur SecNumCloud doit pouvoir identifier clairement l’ensemble de ses parties prenantes et opérer un suivi des changements dans ses relations, tout en s’assurant de la confidentialité des données échangées. Cela permet de limiter les failles de sécurité d’origine externes, dans un contexte de multiplication des supply chain attack.
Renforcer la souveraineté
Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français et limite les risques d’espionnage industriel.
Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.
TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud
Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.
Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
FAQ :
Qu’est-ce que la qualification SecNumCloud ?
SecNumCloud est une qualification de sécurité délivrée par l’ANSSI, garantissant un haut niveau de sécurité pour les services Cloud, en conformité avec des normes strictes.
Quelles sont les exigences pour obtenir la qualification SecNumCloud ?
Les prestataires Cloud doivent se conformer à plus de 350 points d’exigence, couvrant des aspects tels que la sécurité des systèmes d’information, le chiffrement des données, la gestion des incidents, et la continuité d’activité.
Pourquoi choisir un opérateur cloud qualifié SecNumCloud ?
Choisir un opérateur qualifié SecNumCloud minimise les risques de sécurité et assure une protection renforcée des données, en plus de garantir la souveraineté numérique des organisations et leur conformité avec le RGPD.
Comment la qualification SecNumCloud renforce-t-elle la souveraineté numérique ?
Elle inclut des mesures de protection contre les lois extraterritoriales, garantissant que les données ne soient pas transférées à un tiers sans accord préalable et soient hébergées en France.
Quels avantages pour les secteurs critiques ?
Avec une solution qualifiée SecNumCloud, les secteurs critiques, tels que la défense et les industries, bénéficient d’une protection maximale contre l’espionnage industriel et d’une garantie de disponibilité et de continuité des services cloud.
La sécurité des données dans le cloud, notamment en ce qui concerne le stockage et le partage de data, est devenue un enjeu crucial avec l’adoption massive de ces technologies en Europe. Mais qu’est-ce qui fait qu’un cloud est véritablement sécurisé ? Plusieurs critères essentiels entrent en jeu : le chiffrement (ou cryptage) des données pour protéger les informations sensibles, une gestion rigoureuse des identités et des accès pour empêcher les intrusions non autorisées, la redondance et les sauvegardes pour éviter la perte d’informations, ainsi qu’une surveillance constante pour détecter et gérer les incidents. De plus, l’accessibilité depuis différents appareils et la synchronisation des données sont des aspects importants pour un usage efficace.
Des certifications comme l’ISO/IEC 27017 ou la qualification SecNumCloud attestent de la conformité duservice aux normes internationales de sécurité, offrant des garanties supplémentaires de protection. Le schéma européen EUCS, actuellement en discussion, vise à harmoniser la sécurité des infrastructures cloud à travers l’Europe afin de fournir un cadre strict, bien que des débats subsistent sur certaines exigences, notamment l’immunité aux lois extraterritoriales.
Comprendre les distinctions entre un cloud souverain et un cloud de confiance est également primordial, surtout en ce qui concerne la souveraineté des données protégées et l’indépendance vis-à-vis des réglementations étrangères. Des solutions logicielles comme Tixeo illustrent l’importance de choisir des services cloud sécurisés et fiables pour les organisations professionnelles sensibles, en assurant la confidentialité et l’intégrité des données partagées en ligne.
Alors que la construction du schéma EUCS continue de faire débat en Europe, la protection des données dans le cloud, qu’il s’agisse du stockage en ligne ou des services de drive, est plus que jamais d’actualité. Parmi l’offre étendue de services et d’hébergements proposés, comment reconnaître un cloud véritablement sécurisé, simple d’utilisation et accessible ? Quels sont les critères indispensables pour une protection optimale des données ? Pourquoi le chiffrement des données et la gestion des identités et des accès font partie des critères essentiels dans la sécurisation de vos données sensibles ?
Un cloud dit sécurisé répond à des spécificités techniques (authentification, chiffrement, sauvegarde…) et réglementaires (conformité, localisation, disponibilité…) pour assurer la sécurité des données hébergées.
Choisir un cloud sécurisé : pourquoi est-ce important ?
Dans les secteurs d’activités sensibles, le recours à un hébergement cloud sécurisé revêt une importance capitale pour protéger des informations hautement confidentielles. En effet, le cloud sécurisé garantit à la fois la protection des données grâce à différents mécanismes de sécurité (chiffrement, gestion stricte des accès, sauvegarde…), mais assure également une stricte conformité avec des normes internationales. En choisissant un service cloud sécurisé, les organisations limitent les risques d’intrusion, de perte et de vol de données ainsi que les interruptions de service. En cas d’incident, la sécurité du cloud permettra de garantir la récupération des données et la continuité des activités.
Les principaux critères de sécurité
Chiffrement des données
Le chiffrement consiste à rendre illisible les données hébergées dans le cloud afin d’éviter tout vol, lecture ou compromission.
En janvier 2024, la CNIL a publié un guide sur « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public ». La Commission rappelle ainsi que le chiffrement des données reste « l’une des principales mesures permettant de garantir la confidentialité des données dans un système informatique. ». Pour cela, une bonne gestion des clés ainsi qu’une robustesse des algorithmes de chiffrement sont indispensables pour que la protection des données soit effective.
La CNIL indique ainsi plusieurs niveaux de chiffrement des données selon l’état d’utilisation des données. Par exemple, pour des données au repos (c’est-à-dire simplement stockées), 4 niveaux de chiffrement sont possibles :
chiffrement de disque ;
chiffrement au niveau du fichier ;
chiffrement de base de données ;
chiffrement au niveau de l’application.
Par ailleurs, le chiffrement de données en transit doit reposer sur « la création d’un tunnel sécurisé entre le client et le serveur cloud, ou entre différentes machines du cloud », dans lequel les données sont chiffrées à l’envoi et déchiffrées à réception.
Gestion des identités et accès
La gestion des identités et des accès dans le cloud consiste d’abord à recenser, dans une base de données, les personnes considérées comme légitimes pour accéder à certaines données. Différentes informations peuvent être listées sur leur identité et leur rôle dans l’entreprise ainsi que sur la typologie d’informations à laquelle ils peuvent accéder.
Les mises à jour de ces bases ainsi que la mise en place en place d’authentification multi-facteur sont indispensables pour contrôler les connexions et éviter des intrusions indésirables. De plus, un suivi précis des accès est recommandé pour évaluer la sécurité et répondre à des audits.
Redondance des données
Au-delà de la haute disponibilité des données, promise par de nombreux fournisseurs cloud, la redondance elle constitue un critère de sécurité important. En effet, alors que la disponibilité correspond au fait de pouvoir accéder aux données à tout moment, la redondance assure que des copies de données soient stockées sur différents serveurs, afin de faciliter l’accès aux données en cas de défaillance ou de panne. Ces mécanismes de redondance doivent être suffisamment robustes afin d’éviter la perte de données. Pour les évaluer, il peut être intéressant de s’attarder sur les pourcentages de durabilité garantis par les fournisseurs cloud, généralement mesurés en 9.
Sauvegarde et récupération après sinistre
Comme pour la redondance, la sauvegarde en cloud permet d’éviter une perte de données, mais aussi d’assurer la continuité d’activité, grâce à l’envoi d’une copie des données sur un serveur secondaire. L’avantage de la sauvegarde en cloud est qu’elle s’exécute automatiquement et en continu, sans nécessiter d’intervention de l’entreprise. Le fournisseur cloud a pour rôle de garantir cette sécurité essentielle.
La gestion des incidents consiste à mettre en place des processus de notification et de résolution en cas d’incidents dans le cloud, afin d’éviter toute perte d’intégrité des données. Pour cela, il est essentiel de bénéficier d’une vue globale sur les ressources allouées ainsi que sur les opérations et les services critiques utilisés.
Conformité aux normes en vigueur
La norme ISO/IEC 27017
La sécurité d’un cloud se mesure également par sa conformité aux normes en vigueur. La norme ISO/IEC 27017, reconnue internationalement, délivre des conseils en matière d’implémentation et de contrôle des services cloud. Elle garantit ainsi la sûreté de l’environnement cloud.
Le schéma de certification européen EUCS
À l’échelle européenne, les services cloud pourront bientôt être certifiés par le premier schéma de certification européen du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS).
Son objectif est d’homogénéiser la sécurité du cloud en Europe en créant un cadre commun et en favorisant la souveraineté européenne. Mais sur ce dernier thème, les avis divergent. Récemment, « l’imperméabilité aux lois extraterritoriales » du service cloud, un des critères d’exigence les plus stricts de la certification, a été supprimé. La France et plusieurs pays s’y opposent depuis plusieurs mois et les discussions sont toujours en cours. Récemment, la Commission Supérieure du Numérique et des Postes et la CNIL ont confirmé que cette suppression représentait un danger pour la souveraineté des données sensibles.
La qualification SecNumCloud
En France, la qualification SecNumCloud a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing. Pour en bénéficier, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel, comprenant plus de 350 points d’exigence. Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
À noter que la qualification SecNumCloud est le référentiel de sécurité le plus exigeant en matière de protection des données cloud et de souveraineté numérique. Son prochain remplacement par le schéma commun EUCS pose ainsi d’autant plus question, si la suppression de l’exigence d’immunité extraterritoriale dans l’EUCS venait à être confirmée. En plus de représenter un danger pour la sécurité des données, cela pourrait diminuer de facto le niveau de sécurité global du cloud français et européen.
Localisation des données (transit, repos, utilisation)
Localisation des services et applications tierces
Localisation des équipes d’admin / exploitation
Localisation des sous-traitants
Localisation si chaîne de sous-traitance
Localisation des personnes à accès à privilèges
Localisation des supervisions / sauvegardes
Localisation du siège de la société
Nationalité des services ou produits utilisés
Nationalité du ou des hébergeurs
Nationalité des personnels à accès techniques
Nationalité des fonds de capitaux
Montage juridique de la société / entité
Certifications pour l’hébergeur
L’ensemble de ces critères permettent « d’objectiver le niveau de confiance numérique d’une solution d’hébergement » cloud, notamment pour les entreprises évoluant dans des secteurs critiques.
Cloud souverain et cloud de confiance : quelles différences ?
Parfois confondues, les notions de “cloud souverain” et de “cloud de confiance” affichent une certaine complémentarité. Dans le document du Clusif précédemment cité, leurs liens font l’objet d’une explication détaillée.
Pour résumer, on parle de cloud de confiance lorsque le service permet de “garantir la préservation des intérêts des organisations et des utilisateurs en matière de protection des données”.
Cependant, dans certains secteurs stratégiques, l’approche de la sécurité va plus loin et englobe un besoin de souveraineté numérique. Ainsi, le cloud souverain assure la protection des “intérêts fondamentaux d’un Etat ainsi que ceux de ses organisations nationales et de ses utilisateurs” grâce à un contrôle total des données et une indépendance vis-à-vis des réglementations étrangères. Les critères de localisation des données et des services deviennent ainsi primordiaux et doivent garantir une immunité aux lois extra-territoriales, plus souples que le cadre européen en matière de protection des données. Tout en évitant toute “fuite de valeur économique”.
Cette complémentarité permet d’associer sécurité technique des données avec garanties d’indépendance, afin d’offrir aux organisations une protection complète de leurs donnes dans le cloud et une autonomie stratégique.
Tixeo, solution de visioconférence sécurisée dans le cloud souverain
Au sein de secteurs stratégiques et sensibles, comme l’Industrie, la Justice ou les administrations publiques, la digitalisation des informations et de la collaboration se poursuit. Dans ces environnements contraints, la protection de des données hébergées dans le cloud est essentielle, d’autant plus lorsque les cybermenaces se multiplient.
Les outils de collaboration et de visioconférence dans le cloud doivent ainsi garantir la plus haute sécurité aux données contre les tentatives d’intrusion et les lois extraterritoriales, permissives en matière d’accès aux données.
Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
Qu’est-ce que la sécurité du cloud et pourquoi est-elle importante ?
La sécurité du cloud englobe l’ensemble des technologies, politiques et contrôles destinés à protéger les données stockées, les applications logicielles et les infrastructures hébergées dans le cloud contre les menaces potentielles. Elle est cruciale pour prévenir les violations de données, assurer la conformité aux réglementations et maintenir la confiance des utilisateurs envers les services cloud, notamment en facilitant le partage sécurisé des informations.
Quels sont les principaux risques liés à la sécurité du cloud ?
Les risques majeurs incluent les violations de données, les menaces internes, les API non sécurisées, le détournement de comptes et les cyberattaques. Ces menaces peuvent compromettre la confidentialité, l’intégrité et la disponibilité des données stockées dans le cloud, entraînant des conséquences financières et réputationnelles pour les organisations. Une infrastructure sécurisée est donc une priorité élevée pour protéger le matériel et les logiciels utilisés.
Comment évaluer la fiabilité et la sécurité d’un fournisseur de cloud ?
Pour évaluer la fiabilité d’un fournisseur de cloud sécurisé, vérifiez ses certifications de sécurité reconnues (comme ISO 27001), sa conformité aux réglementations telles que le RGPD et consultez les audits de sécurité indépendants. Considérez également sa réputation, les avis clients et les protocoles de protection des données qu’il utilise. Assurez-vous que ses services offrent un espace de stockage conforme à vos exigences et des paramètres de sécurité personnalisables.
Quels mécanismes de sécurité un cloud sécurisé devrait-il offrir ?
Un cloud sécurisé doit inclure le chiffrement des données en transit et au repos, l’authentification multifacteur, des pare-feux avancés, des systèmes de détection et de prévention des intrusions, ainsi que des protocoles pour la détection et la prévention des cybermenaces. Il doit également proposer des logiciels fiables pour faciliter le partage et le classement des données.
Qu’est-ce que le chiffrement des données et comment protège-t-il mes informations dans le cloud ?
Le chiffrement des données est le processus de conversion des informations en un code illisible sans la clé de déchiffrement appropriée. Cela protège les informations sensibles lors du stockage et de la transmission, garantissant que même en cas d’accès non autorisé, les données restent inexploitables pour les individus malveillants. Chiffrer vos données est donc essentiel pour retrouver une confidentialité optimale.
Qu’est-ce que le chiffrement “zero-knowledge” et pourquoi est-il important ?
Le chiffrement “zero-knowledge” signifie que le fournisseur de services cloud ne détient aucune connaissance des clés de chiffrement de vos données. Seul l’utilisateur possède ces clés, garantissant que même le prestataire ne peut accéder à vos informations. Cette approche maximise la confidentialité et protège vos données stockées contre tout accès non autorisé, même au niveau du matériel ou de l’infrastructure du fournisseur.
Comment l’authentification et les contrôles d’accès renforcent-ils la sécurité du cloud ?
L’authentification et les contrôles d’accès sont essentiels pour garantir que seules les personnes autorisées peuvent accéder aux données et aux services dans le cloud. Des mécanismes tels que l’authentification multifacteur ajoutent une couche supplémentaire de sécurité, réduisant le risque d’accès non autorisé et de compromission des comptes. Les paramètres de sécurité permettent de partager des fichiers en toute confiance et de retrouver facilement qui y a accès.
Quelles mesures puis-je prendre pour renforcer la sécurité de mes services cloud ?
Vous pouvez renforcer la sécurité en utilisant des mots de passe forts et uniques, en activant l’authentification multifacteur, en gérant soigneusement les accès, en surveillant les activités suspectes et en mettant en place des mesures de sauvegarde régulière. Il est également conseillé de maintenir vos logiciels à jour, de classer vos documents dans des dossiers sécurisés et de chiffrer vos données sensibles.
Pourquoi la localisation des centres de données est-elle importante pour la sécurité ?
La localisation des centres de données influence la juridiction légale et les lois de protection des données applicables. Stocker vos données dans des pays avec des lois strictes sur la protection de la vie privée, comme ceux de l’Union européenne, peut offrir une protection juridique accrue et limiter les risques d’accès non autorisé par des tiers ou des gouvernements étrangers. Cela garantit également que l’infrastructure matérielle respecte des normes de sécurité élevées.
Comment les lois sur la protection des données, comme le RGPD, affectent-elles l’utilisation du cloud ?
Le Règlement Général sur la Protection des Données (RGPD) impose des normes strictes pour la protection des données personnelles dans l’UE. Un fournisseur cloud conforme au RGPD garantit que vos données sont traitées légalement et en toute transparence, réduisant ainsi les risques de non-conformité et de sanctions associées. Il est important que votre fournisseur de cloud soit conforme à ces réglementations pour éviter des sanctions légales et assurer un espace de travail sécurisé.
Quelle est la différence entre la sécurité des données et la confidentialité des données dans le cloud ?
La sécurité des données concerne la protection contre les accès non autorisés, les violations et les pertes de données. La confidentialité des données se concentre sur la protection des informations sensibles afin qu’elles ne soient pas divulguées à des tiers non autorisés. Les deux aspects sont cruciaux pour garantir que vos données, qu’elles soient stockées ou partagées, restent protégées.
Quelle est l’importance des accords de niveau de service (SLA) avec un fournisseur cloud ?
Un SLA définit les engagements du fournisseur en termes de disponibilité, de performance et de support. Il offre une garantie contractuelle sur la qualité du service et précise les recours en cas de non-respect, assurant ainsi une certaine résilience et fiabilité du service. Cela vous permet de retrouver rapidement l’accès à vos données et applications en cas de problème, garantissant une continuité d’activité élevée.
Comment un cloud sécurisé gère-t-il la sauvegarde et la récupération des données ?
Il propose des solutions de sauvegarde régulières et automatisées, ainsi que des plans de reprise après sinistre pour restaurer rapidement les données en cas de perte, de suppression accidentelle ou de cyberattaque. Des fonctionnalités de versionnage des fichiers peuvent également être disponibles, facilitant le classement et la récupération de vos documents dans vos drives ou logiciels de gestion.
Qu’est-ce que la résilience dans le cloud et pourquoi est-elle importante ?
La résilience fait référence à la capacité du système cloud à continuer de fonctionner malgré les pannes ou les attaques. Une haute résilience assure une disponibilité constante de vos données et services, minimisant ainsi les interruptions d’activité et permettant un retour à la normale rapide. Cela est essentiel pour les infrastructures critiques et les applications bureautiques utilisées quotidiennement.
Puis-je contrôler qui a accès à mes fichiers stockés en ligne ?
Oui, la plupart des services sécurisés offrent des options de gestion des permissions, vous permettant de définir qui peut voir ou modifier vos fichiers. Vous pouvez généralement partager des liens avec des niveaux d’accès spécifiques ou restreindre complètement l’accès. Ces paramètres vous aident à partager vos documents de manière sécurisée et à retrouver facilement qui détient les permissions.
Quels critères de sécurité distinguent les meilleurs fournisseurs de stockage cloud ?
Les fournisseurs de stockage cloud les plus sécurisés offrent des fonctionnalités telles que le chiffrement “zero-knowledge”, le chiffrement de bout en bout, une conformité rigoureuse aux normes de sécurité internationales, l’authentification multifacteur et une conformité à des juridictions favorables à la protection stricte des données et de la vie privée. Ils disposent également d’infrastructures matérielles robustes et de logiciels performants pour détecter et prévenir les cybermenaces.
Comment choisir le service de stockage en ligne le plus adapté à mes besoins en sécurité ?
Évaluez les fonctionnalités de sécurité offertes, telles que le chiffrement des données, l’authentification multifacteur et la politique de confidentialité. Vérifiez les certifications de sécurité, la conformité aux réglementations comme le RGPD et la localisation des centres de données. Considérez également la réputation du fournisseur, les avis d’experts en cybersécurité, et si le service permet de stocker, retrouver et partager vos fichiers facilement grâce à des logiciels ou drives intuitifs.
La capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique est devenue une préoccupation majeure.
Analyse de la souveraineté numérique et de ses enjeux.
Naissance du concept de souveraineté numérique
La souveraineté est définie dans le Larousse comme «lePouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements (souveraineté externe) ». Avec la mondialisation et l’accroissement du numérique, la question de la souveraineté s’est élargie au cyberespace.La souveraineté numérique est ainsi définie comme la capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique.
Cette notiona émergé progressivement en Europe face à l’hégémonie américaine et chinoise sur la gestion d’Internet. La création de l’ICANN (Internet Corporation for Assigned Names and Numbers), autorité américaine de régulation d’Internet, ou encore la domination des multinationales dans les technologies du numérique ont provoqué des réactions quant au monopole technique et économique du web.
Dès 2012, la Russie et la Chine revendiquent également leurs “droits souverains” sur la gestion du réseau Internet, lors de la Conférence mondiale des télécommunications internationales.
Mais c’est en 2013 que le grand public prend conscience d’un autre enjeu de la souveraineté numérique avec l’affaire Snowden : celle du partage de données. Le scandale a accentué les préoccupations mondiales et européennes sur le sujet. En France, il a même conduit à la création d’un Institut de la souveraineté numérique, association chargée de sensibiliser le public et les élus aux enjeux.
Trois composantes de la souveraineté numérique
Indépendance technologique
Les technologies du numérique transforment continuellement nos sociétés, sans se limiter à des frontières physiques. Ainsi, l’hégémonie des multinationales sur l’espace numérique mondial et globalisé complexifie le développement et l’innovation technologique au sein d’autres nations. Réduire la dépendance à des technologies étrangères, au sein de secteurs stratégiques et critiques notamment, pour favoriser un marché national, constitue un des premiers leviers pour développer des infrastructures numériques souveraines.
Développement économique et politique
Le rapport de la commission d’enquête du Sénat sur la souveraineté numérique, paru en 2019,décritla souveraineté numérique comme “la capacité de l’État à agir dans le cyberespace” avec la maîtrise de “nos réseaux, nos communications électroniques et nos données“. En effet, les rapports de force économiques et politiques entre Etats se jouent également, si ce n’est encore plus fortement aujourd’hui, dans l’espace numérique. La cyber power des nations est d’ailleurs aujourd’hui un critère d’évaluation de puissance nationale à part entière, mesuré par le NCPI. La souveraineté numérique participe donc à la fois au renforcement de la compétitivité économique et à l’autorité du pays dans le cyberespace.
Protection des données
L’avènement des technologies du numérique a vu naître aussi un nouvel or, celui de la data. Les utilisateurs, consommateurs et citoyens partagent une multitude de données en ligne sans toujours savoir comment ni par qui elles seront employées.
Sur le plan éthique, la souveraineté numérique participe à garantir une plus grande protection des données personnelles, en limitant leur accès et leur utilisation par des pays tiers. L’Europe s’est faite garant de cette préoccupation fondamentale. En mai 2023, dans son document « Approches mondiales de la souveraineté numérique : Définitions concurrentes et politiques contrastées », elle définit la souveraineté numérique comme « la capacité de l’UE à faire ses propres choix en matière de régulation des données, basée sur ses valeurs et respectant ses propres règles, afin de protéger les droits individuels et promouvoir l’innovation technologique. ». Toujours dans une visée souveraine, protéger les données numériques vise également à prévenir les risques d’espionnage et d’atteinte à la propriété scientifique et technique des nations.
Quels sont les défis et menaces ?
Les géants du numérique, qu’ils soient américains sous les acronymes GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et NATU (Netflix, Airbnb, Tesla, Uber) ou chinois (BATX pour Baidu, Alibaba, Tencent et Xiaomi) ont amené les consommateurs à renoncer à leurs droits sur leurs données personnelles, en échange de l’accès à leurs services.
Bien que remise en question de façon croissante, cette situation pose de nombreux défis à l’Europe sur sa capacité à proposer des technologies numériques innovantes et souveraines.
En somme, la souveraineté numérique représente un défi majeur pour la protection des intérêts des nations et implique la mise en place de stratégies différentes pour la garantir.
Les États membres de l’UE s’efforcent aujourd’hui d’influencer le débat mondial pour la protection des données en établissant de nouvelles règles de gouvernance pour une infrastructure numérique qui respecte les souverainetés nationales.
Les mesures pour renforcer la souveraineté numérique européenne
L’Union Européenne tente d’imposer ses valeurs dans la lutte pour la souveraineté numérique, grâce à différentes mesures.
Le RGPD
Le RGPD (Règlement Général sur la Protection des Données) cadre strictement la collecte, le traitement et l’utilisation des données des citoyens européens. Le règlement inclut notamment des mesures qui favorisent la transparence des entreprises, sur le but du traitement, mais aussi le droit à la confidentialité et à l’effacement des données des utilisateurs. Il garantit également que l’hébergement des données soit soumis au contrôle des juridictions européennes et jamais transféré dans un pays tiers, ce qui garantit la souveraineté numérique.
La loi SREN, pour la souveraineté du cloud
La nouvelle loi SREN pour la régulation de l’espace numérique, entrée en vigueur le 21 mai 2024, vise notamment à réduire l’influence des géants américains du cloud. Parmi ses mesures, l’encadrementdes frais de transfert de données et de migration, l’obligation d’interopérabilité ou encore le plafonnement des crédits cloud.
Cette loi pourrait favoriser le choix d’opérateurs cloud européens souverains, notamment qualifiés SecNumCloud. Cette qualification de sécurité française, attribuée par l’ANSSI (Agence nationale de la sécurité des systèmes d’informations), garantit un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Des progrès restent néanmoins à faire sur le sujet de la souveraineté du cloud. En effet, le projet de premier schéma européen de certification de sécurité du Cloud, ou EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), a récemment vu son principal critère relatif à la souveraineté européenne supprimé. Une modification soutenue par 26 groupes industriels européens qui ont publié une lettre commune indiquant que l’EUCS ne devait pas discriminer les grandes entreprises technologiques.
L’IA Act, pour une intelligence artificielle souveraine
En matière d’innovation technologique, l’intelligence artificielle représente aujourd’hui un domaine hautement stratégique au niveau mondial, dans lequel l’UE compte bien se faire une place. Le 21 mai 2024, le Conseil européen a adopté le projet IA act pour développer et « garantir une IA respectueuse des droits fondamentaux » et de la souveraineté numérique. Elle pourra ainsi favoriser le respect de la protection des données et « faciliter le développement d’un marché unique pour des applications d’IA légales et sûres, et empêcher la fragmentation du marché. ».
Pour les entreprises : choisir des solutions souveraines
En plus de réguler un marché, ces réglementations permettent de guider les entreprises et les organisations dans leurs choix technologiques et numériques. En effet, les solutions soumises à des lois extra-territoriales (Cloud act ou autres), ne garantissent jamais la protection des informations. Alors que, dans des secteurs critiques comme l’industrie ou la finance, la préservation des données stratégiques est indispensable.
Parmi les choix technologiques les plus sensibles des entreprises figure celui de l’outil de visioconférence. Utilisée pour des communications sensibles, la visioconférence fait transiter une multitude d’informations confidentielles, sur l’activité de l’organisation mais aussi sur les participants aux réunions en ligne.
Si les données des utilisateurs sont protégées en Europe par le RGPD, ce n’est pas le cas ailleurs. De plus, le chiffrement des flux de communications n’est pas limité au sein de l’UE, même si cette technologie fait régulièrement l’objet de débats au sein des Etats membres. Il est cependant largement restreint dans d’autres pays (notamment aux Etats-Unis avec la loi du Patriot Act). En clair, utiliser une solution de visioconférence non souveraine expose les entreprises à des risques d’espionnage et d’ingérence économique accrus.
En conclusion, la souveraineté numérique est une notion essentielle pour les États et les entreprises qui cherchent à protéger leurs intérêts stratégiques dans un monde de plus en plus connecté et dominé par les géants du numérique. En réduisant la dépendance vis-à-vis des technologies étrangères, en promouvant l’innovation technologique locale et en garantissant la sécurité des données, l’Union Européenne s’efforce de créer un environnement numérique sûr et autonome.
Pour les entreprises, choisir des solutions numériques souveraines n’est pas seulement une question de conformité aux régulations : c’est avant tout une stratégie pour assurer la confidentialité et la sécurité de leurs informations sensibles. Tixeo accompagne les organisations critiques dans le renforcement de leur souveraineté numérique, via la protection de leurs communications en ligne.
Il existe plusieurs façons de déployer la visioconférence au sein d’une organisation. Que ce soit dans le cloud public, dans le cloud privé ou pour une solution de visioconférence on-premise, chaque déploiement répond à un besoin spécifique et présente ses propres avantages.
Définition d’un logiciel de visioconférence dans le cloud
Un logiciel de visioconférence dans le cloud désigne une solution de communication hébergée sur des serveurs distants, gérés par un prestataire externe.
Ces serveurs sont accessibles en ligne, pour permettre aux utilisateurs d’accéder à la solution simplement avec une connexion Internet.
Quelle différence avec une solution de visioconférence on-premise ?
Un logiciel de visioconférence en version on-premise est installé et fonctionne sur les propres serveurs et infrastructure informatique d’une entreprise. L’accès aux données, stockées en interne, n’est pas contraint par une connexion internet pour les communications internes.
On-premise ou cloud : identifier le besoin
Déployer facilement la visioconférence
Pour les petites ou moyennes entreprises nécessitant une solution de visioconférence à déployer rapidement, sans trop de frais, le cloud est le plus adapté. En effet, la visioconférence dans le cloud public n’implique pas l’installation d’un serveur. Ainsi, elle offre la possibilité d’optimiser les ressources allouées. De plus, sa rapidité de déploiement peut être également être apprécié : en quelques heures, le service est complètement opérationnel.
Disposer de son propre serveur de visioconférence dans le cloud
Pour les organisations moyennes à grandes, disposant d’un budget plus important et privilégiant la simplicité de déploiement, le cloud privé de visioconférence s’impose. Il offre les avantages du cloud tout en permettant à l’entreprise de disposer de son propre serveur de visioconférence. Il est également possible pour l’organisation d’obtenir sa propre adresse de serveur cloud. Certains éditeurs permettent également de personnaliser l’interface utilisateur aux couleurs de l’entreprise.
Opter pour une sécurité maximale
Pour les grandes et très grandes entreprises, avec des exigences fortes en matière de cybersécurité, l’installation et la maîtrise d’un serveur de visioconférence au sein même de son infrastructure réseau peut être préférée à une dépendance vis-à-vis d’un prestaire cloud. C’est pourquoi, le déploiement d’une solution de visioconférence en version on-premise sera plus adaptée.
Les avantages de la visioconférence dans le cloud vs on-premise
Flexibilité et scalabilité
La visioconférence dans le cloud s’adapte facilement au nombre d’utilisateurs de la solution. Pour des réunions en ligne avec quelques collaborateurs ou de grandes visioconférences, la solution peut être mise à l’échelle sans engendrer des coûts trop importants. Et ce, à la différence de modifications sur des serveurs propres. Enfin, la visioconférence dans le cloud ne nécessite pas la mise en place d’une infrastructure informatique ni de maintenance de la part des entreprises.
Personnalisation de l’interface
Même s’il n’est pas aussi personnalisable techniquement qu’une solution on-premise, le serveur cloud privé de visioconférence peut être personnalisé graphiquement. C’est le cas avec l’offre TixeoPrivateCloud. L’entreprise a la possibilité de personnaliser l’interfacedu logiciel et de son accès web avecsescouleurset son logo. Les mails envoyés par Tixeo (invitations aux réunions, mises à jour…) sont également personnalisés à son image. Lors des réunions, un texte en watermark (ou filigrane) peut aussi être intégré en bas à droite pour faire passer un message de confidentialité (par exemple : « diffusion restreinte »).
Facilité de maintenance
En effet, le fournisseur de la solution de visioconférence dans le cloud gère les mises à jour de sécurité, les améliorations logicielles ou encore la maintenance des serveurs. Cela réduit la charge de travail pour les équipes IT au sein de l’entreprise et limite ainsi les coûts.
Réduction des coûts
En plus de l’économie de ressources, la structure d’abonnement pour la visioconférence dans le cloud permet généralement aux entreprises d’ajuster leur plan de tarification en fonction de leurs besoins du moment. Cela leur permet de réaliser des économies et de gagner en agilité.
Tixeo propose sa solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, dans le cloud public. Hébergée en France, avec une offre sur-mesure et performante qui optimise les coûts de fonctionnement.
La doctrine du « cloud au centre », promue par le gouvernement français, invite les administrations publiques à s’appuyer sur des services numériques hébergés dans le cloud. Dans l’optique d’accélérer la digitalisation du service public, cette généralisation du cloud doit néanmoins se faire en garantissant la sécurité des données. Cela implique le choix de prestataires souverains qualifiés SecNumCloud (ou disposant d’une qualification européenne pour garantir un niveau au moins équivalent, notamment de cybersécurité).
SecNumCloud est une qualification de sécurité proposée par l’ANSSI qui garantit un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing. Pour s’assurer de la sécurité d’un logiciel dans le cloud, elle constitue un critère de choix.
Pour en bénéficier, le prestataire cloud doit prouver sa conformité aux bonnes pratiques et normes de sécurité listées dans le référentiel SecNumCloud. Une fois reçue, la qualification s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
La Commission supérieure du numérique et des postes (CSNP) a d’ailleurs récemment demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain à toutes les administrations, en accord avec la Directive NIS 2.
Tixeo propose sa solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, dans un cloud privé et souverain, qualifié SecNumCloud.
Les avantages de la visioconférence en version on-premise vs cloud
Les entreprises optent pour ce type de déploiement pour des raisons de conformité, de sécurité des données, ou de besoin de fonctionnalités spécifiques non disponibles dans les solutions cloud.
Contrôle total de la solution
En déployant un logiciel de visioconférence on-premise, l’organisation dispose d’un total contrôle sur son infrastructure IT. Elle devient responsable de la maintenance et des mises à jour de la solution et des logiciels nécessaires pour faire fonctionner le service.
Assurer la continuité d’activité
Grâce à son fonctionnement hors-ligne, la visioconférence on-premise permet aux organisations de maintenir les communications. Elle assure ainsi la continuité d’activité en cas de crise, de rupture de la connexion internet ou de panne informatique.
Indépendance technologique
Déployer son propre serveur de visioconférence, c’est renforcer son indépendance technologique et aussi sa souveraineté. En effet, certaines solutions de visioconférences dans le cloud répondent à des réglementations extra-territoriales qui protègent peu les données des utilisateurs. Avec une visioconférence on-premise, l’entreprise limite les failles de sécurité et s’appuie sur sa propre expertise, sans intervention extérieure.
Garder le contrôle sur le traitement des données personnelles
En adoptant le modèle on-premise, l’entreprise garde un contrôle absolu sur le traitement des données personnelles de ses utilisateurs. Elle évite ainsi de les confier à un tiers et limite les risques de fuite de données. De ce fait, l’organisation peut aisément affirmer sa conformité au RGPD.
Tixeo propose sa solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, en version on-premise, pour une sécurité maximale lors de son intégration.
FAQ :
Qu’est-ce qu’une solution de visioconférence On-Premise ?
Une solution On-Premise est installée et hébergée sur les serveurs internes de l’entreprise, offrant à l’organisation un contrôle total sur les données et leur sécurité.
Quels sont les avantages d’une solution de visioconférence Cloud ?
Les solutions Cloud offrent une flexibilité accrue, des mises à jour automatiques, et ne nécessitent pas d’infrastructure matérielle dédiée. Elles permettent également un accès facile aux utilisateurs depuis n’importe quel endroit.
Pourquoi choisir une solution On-Premise ?
Une solution On-Premise est idéale pour les entreprises ayant des exigences strictes en matière de sécurité et de confidentialité des données et qui préfèrent garder un contrôle total sur leur infrastructure.
Quels sont les principaux inconvénients d’une solution Cloud ?
Les solutions Cloud peuvent présenter des risques pour la protection des données si elles ne sont pas souveraines. Pour cela, le choix d’une solution qualifiée SecNumCloud est recommandée.
Comment décider entre une solution On-Premise et une solution Cloud ?
Le choix dépend de plusieurs facteurs, tels que les besoins de sécurité, les ressources disponibles pour la gestion de l’infrastructure, la flexibilité requise et le budget de l’entreprise.
Quelles sont les considérations de coût entre On-Premise et Cloud ?
Les solutions On-Premise impliquent des coûts initiaux plus élevés pour le matériel et l’installation, tandis que les solutions Cloud fonctionnent généralement sur un modèle d’abonnement avec des coûts répartis dans le temps.
Quelles sont les exigences de maintenance pour une solution On-Premise ?
Les solutions On-Premise nécessitent une équipe IT pour gérer la maintenance, les mises à jour et les sauvegardes, ce qui peut représenter un coût et un investissement en temps significatifs.
En quoi une solution Cloud peut-elle améliorer la collaboration ?
Les solutions Cloud permettent une collaboration en temps réel et un accès facilité aux réunions depuis différents appareils et emplacements, facilitant ainsi le travail à distance.
Quels sont les risques de sécurité associés aux solutions Cloud ?
Les solutions Cloud peuvent être vulnérables aux cyberattaques si les mesures de sécurité adéquates ne sont pas mises en place, telles que le chiffrement des données et une gestion rigoureuse des accès.
Tixeo offre-t-il des solutions On-Premise et Cloud ?
Oui, Tixeo propose des solutions de visioconférence aussi bien On-Premise que Cloud, souveraines et adaptées aux besoins spécifiques des entreprises en matière de sécurité et de flexibilité.
Les avocats utilisent la visioconférence sécurisée dans le cadre d’échanges avec leurs clients ou confrères. Mais quels sont les critères pour garantir la sécurité des communications et des données des justiciables ?
Confidentialité des communications
La confidentialité des communications est le premier critère pour choisir un outil de visioconférence sécurisée pour les avocats.
Consultations d’avocats
Lorsqu’une consultation entre un avocat et son client ne peut se tenir en présentiel, pour cause de contraintes personnelles ou de gain de temps, la consultation peut être réalisée à distance. Dans ce cadre, elle doit permettre aux deux parties d’échanger facilement et en toute confidentialité. Le chiffrement de bout en bout des flux de communications audio et vidéo est donc indispensable : grâce à cette technologie, seuls les participants à la réunion en ligne ont accès aux échanges.
Partage de documents
Dans le cadre de procédures juridiques, un avocat peut avoir besoin d’échanger des documents avec son client ou ses confrères. L’envoi de fichiers juridiques nécessite également un chiffrement de bout en bout, pour éviter toute interception extérieure.
Discussions entre collaborateurs et confrères
Les avocats nécessitent également une solution de visioconférence sécurisée pour échanger avec des collègues, que ce soit en déplacement ou en télétravail. Ils sont aussi amenés à discuter avec d’autres professionnels du secteur de la justice, comme des huissiers ou des greffiers. Toutes ces réunions en ligne portent sur des dossiers juridiques qui nécessitent également la plus haute sécurité.
L’utilisation d’une solution de visioconférence implique également la collecte et le traitement de données personnelles de justiciables.
Conformité au RGPD
Il est essentiel pour les professionnels de justice de s’assurer que l’intégrité des données personnelles des justiciables soit respectée. Pour les avocats notamment, cela correspond au respect du secret professionnel et de l’instruction. Ainsi, l’outil de visioconférence sécurisé utilisé pour échanger sur des dossiers de justice doit présenter une totale conformité au RGPD.
En effet, la plupart des logiciels de visioconférence hébergent leurs données en dehors du territoire européen et sont alors soumis à des lois extraterritoriales souples en matière de protection des données. C’est le cas du Cloud act aux Etats-Unis : cette série de lois extraterritoriales permet aux autorités américaines de contraindre les éditeurs situés sur le territoire américain, à fournir les données relatives aux communications électroniques, stockées sur des serveurs américains ou étrangers.
À tout moment, les données d’utilisateurs peuvent ainsi être compromises.
Tixeo répond aux questions de la CCBE
Dans le cadre de ses lignes directrices sur l’utilisation des outils de travail à distance, le Conseil des barreaux européens (CCBE) a comparé les conditions générales d’outils de visioconférence fréquemment utilisés. Il en ressort ainsi 6 questions à se poser par les avocats avant de choisir une solution de visioconférence sécurisée.
Tixeo, solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, a choisi d’y répondre :
1. Dans quelle mesure les conditions générales applicables sont-elles accessibles et transparentes ?
Les conditions générales de Tixeo sont accessibles sur demande, en fonction de l’offre concernée. Par ailleurs, sur son site web figure sa politique de confidentialité qui concerne clients et utilisateurs de la solution.
2. Qui est responsable du traitement des données ?
Selon l’offre de visioconférence dans le Cloud choisie, Tixeo est soit responsable du traitement des données personnelles, soit sous-traitant pour le compte de ses clients. Dans le cadre de son offre de visioconférence on-premise (TixeoServer), ce sont les clients qui sont responsables du traitement des données personnelles de leurs utilisateurs.
4. Dans quelle mesure les fournisseurs de plateformes vendent-ils ou partagent-ils des données personnelles ?
Tixeo ne vend ou ne transfère jamais de données personnelles vers un pays tiers, exceptée la Suisse. En effet, ce pays bénéficie d’une décision d’adéquation. Des données peuvent donc être transférées à notre partenaire Ubcom en Suisse, uniquement sur consentement explicite de la personne concernée.
5. À quelle surveillance les données détenues par les fournisseurs de plateformes dans le nuage pourraient-elles être exposées ?
Aucune. Les données d’utilisateurs bénéficient de la protection d’hébergeurs français, engagés pour la sécurité des données, conformes RGPD et qualifié SecNumCloud.
6. Quel est le niveau de sécurité technique de la plateforme ?
Tixeo est la solution de visioconférence la plus sécurisée du marché européen. Conçue selon une approche Secure by design, elle intègre la sécurité à toutes les étapes de sa conception jusqu’à son déploiement dans les organisations. Sa technologie de chiffrement de bout en bout propriétaire assure une totale confidentialité aux échanges, quel que soit le nombre de participants à la réunion en ligne. Enfin, Tixeo est 100% conforme au RGPD.
Des organisations dans des secteurs sensibles comme la défense, l’industrie ou la justice font aujourd’hui confiance à Tixeo pour leurs communications confidentielles.
Tixeo utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible. Tixeo n’utilise pas de cookies publicitaires. Pour plus d’information nous vous invitons à consulter notre politique de confidentialité.
Langue parlée (Cookie strictement nécessaire)
Le site utilise un cookie permettant à l’internaute de choisir la langue du site et de conserver son choix. Il s’agit d’un cookie strictement fonctionnel.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Statistiques
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences.
