Quels risques pour vos données qui ne sont pas hébergées en Suisse ?

donnees-hebergees-en-suisse

Depuis l’avènement du Cloud, la localisation des données est devenue une question récurrente pour les PME. Celles-ci sont tiraillées entre l’attrait tarifaire et technologique des grands Cloud publics, et la volonté de garder leurs données à proximité. Ou en tout cas sous une juridiction favorable. A tort ou à raison ? Démêlons le vrai du faux.

L’annonce récente de l’arrivée du Cloud Microsoft en Suisse a probablement ravivé le débat. Les plus optimistes y voient la possibilité de bénéficier du meilleur des deux mondes : des données hébergées en Suisse, mais sous l’aile du 2ème plus grand fournisseur Cloud mondial. Pas faux. Mais c’est toutefois sans compter sur les tarifs, qui ont déjà été annoncés comme plus élevés que dans le reste de l’Europe… et relevés par anticipation à l’été 2018. Alors si vous vous demandez quels avantages vous auriez à garder vos données en Suisse, ou quels risques vous prendriez à les stocker ailleurs, voici quelques éléments de réponse.

Commençons justement par le cas Microsoft. En tant qu’entreprise de droit suisse, la société en charge de l’exploitation des datacenters du géant de Seattle jouira de la juridiction helvète. Mais en tant que filiale d’un groupe américain, elle se trouvera aussi sous le coup de lois extraterritoriales, telles que le Patriot Act ou le Cloud Act. On y reviendra. Finalement, rien de bien différent d’un stockage dans le reste de l’Europe.

Des échanges de données déjà nombreux

L’avantage supposé reviendrait à s’en remettre aux arguments généralement mis en avant en faveur de l’environnement suisse : l’extraction de données ne peut avoir lieu que sur ordonnance d’un juge, et la stabilité politique évite les revirements législatifs. A bien y regarder, il n’y a rien de bien différent avec le reste de l’Europe non plus, occidentale en tout cas. D’ailleurs, rien n’empêche un juge suisse d’ordonner une extraction dans le cadre d’une coopération internationale. Et vice versa.

Les accords de coopération existent et permettent ces transactions. D’expérience, je peux affirmer que les demandes judiciaires d’extraction de données il y a quelques années, dans le domaine des télécommunications, étaient nombreuses et arrivaient parfois de l’étranger, sans que cela ne pose problème. A tel point que la Confédération avait, devant l’afflux de demandes, mandaté un cabinet de conseil de renom pour tenter de justifier la baisse des émoluments versés aux opérateurs. Ces demandes concernaient d’ailleurs en grande majorité des particuliers, et non pas des entreprises.

Les déboires d’UBS à la fin des années 2000, et l’automatisation des échanges de données entre états qui s’en est suivie, ont contribué à changer les mentalités. Le temps n’est plus au secret et à l’isolement, mais à la coopération entre les nations. Evitez donc de penser que des données sur le territoire suisse vous mettent à l’abri : si elles doivent être dévoilées dans le cadre d’une enquête judiciaire, elles le seront, ici ou ailleurs.

Reste la question des lois extraterritoriales qui peuvent court-circuiter la justice pour accéder à vos précieux fichiers. C’est le cas pour le Patriot Act. Ca l’est un peu moins pour le Cloud Act. Dans les faits, ce dernier, en fonction du contexte, s’appuiera sur un accès direct à l’opérateur ou sur une demande de coopération. Mais uniquement dans le cadre de crimes et de délits.

Le Patriot Act, lui, passera outre dans tous les cas. Et ceci pour tous les fournisseurs de Cloud public dont le siège se trouve aux Etats-Unis. Rappelons tout de même qu’il s’agit d’une loi antiterroriste : si vous êtes concerné, il n’est pas dit que l’exposition de vos données soit alors votre plus gros souci. A bon entendeur.

Quelles solutions pour protéger les données Cloud ?

Maintenant que les risques sont connus, à leur juste mesure, n’y a-t-il pas de solution pour protéger définitivement des données qui se trouveraient en dehors de Suisse ? Evidemment, oui. Car le paradoxe, c’est que le Cloud public est à la fois le mal et le remède en même temps. Si Amazon ou Microsoft vous exposent de facto au Cloud Act par exemple, vous avez tout loisir de profiter des moyens extraordinaires de protection des données qu’ils vous offrent.

A commencer par le cryptage généralisé des données au repos. Que ce soit via les outils SaaS (stockage et partage de fichiers par exemple, tels que Microsoft OneDrive ou Amazon Workdocs) ou les services d’infrastructure (IaaS), vous avez à tout moment la possibilité d’activer le chiffrement. Ainsi, vous pouvez crypter vos disques durs virtuels, sans surcoût et sans perte de performance. Avec la puissance que seuls des acteurs majeurs du Cloud peuvent vous offrir. Il suffit de voir la rapidité et la simplicité d’utilisation de l’infrastructure de gestion de clés Amazon (Cloud HSM) pour s’en convaincre.

Des sociétés comme Merck, UBS ou encore Novartis n’hésitent plus à utiliser le Cloud public en dehors de Suisse. Elles ne sont pourtant pas réputées pour aimer se mettre en danger et ne pas avoir de secret à protéger.

Les échanges de données sur le réseau ne sont pas en reste. Ils sont également protégés par des mécanismes équivalents et éprouvés. Grâce notamment à HTTPS et SSL, les technologies employées en particulier pour sécuriser l’accès aux sites Web, visibles lorsque le cadenas s’affiche dans votre navigateur. Est-ce infaillible pour autant ? Pour le commun des mortels – comprendre une organisation standard – oui. Pour la NSA ou assimilé, probablement pas. Mais là encore, si vos données tombent dans leur radar, votre souci est ailleurs.

La conformité en bonus

Comme un bonheur n’arrive jamais seul, ces technologies vous permettent, en passant, d’être en conformité avec les nouvelles réglementations, telles que le RGPD européen. Et ceci sans effort particulier. D’ailleurs, pour illustrer le propos de la coopération internationale, sachez que la LPD suivra le mouvement et s’alignera dans les très grandes lignes sur ce règlement. Autre exemple : Amazon annonce désormais être certifié HIPAA, soit le plus haut niveau de protection des données de santé. Qui dit mieux ?

Alors pourquoi rencontre-t-on encore de la frilosité chez certains, qui ne jurent que par un stockage local ? Par méconnaissance probablement. Mais aussi parce qu’avoir ses données sous la main donne l’illusion de contrôler la situation. Les explications ci-dessus devraient leur permettre de réviser leur jugement. La preuve ? Des sociétés comme Merck, UBS ou encore Novartis n’hésitent plus à utiliser le Cloud public en dehors de Suisse. Elles ne sont pourtant pas réputées pour aimer se mettre en danger et ne pas avoir de secret à protéger.

Evidemment, dans les PME, l’effet d’inertie est plus important, et les réfractaires purs et durs le resteront probablement. Il est toutefois amusant de confronter ces réticences, rarement fondées, au niveau de pénétration dans ces entreprises de technologies hors contrôle et bien plus dangereuses pour leurs données : WeTransfer, à qui vous cédez la propriété de tous les fichiers que vous déposez, ou encore iCloud, que la version 12 d’iOS publiée il y a quelques mois activait sans vous demander votre avis. Il y a fort à parier que nombre de vos données serait accessible en passant directement par Apple, quand bien même vous auriez mis le feu à votre serveur. La poutre et la paille, ça vous dit quelque chose ?

Si à l’instar des grandes sociétés Suisses qui ont franchi le pas, ou des petites qui sont de plus en plus nombreuses à se pencher sur le sujet, vous envisagez d’externaliser vos données ou applications dans le Cloud public, notre expertise Cloud est à votre service. Pour une analyse en tout objectivité.

Emmanuel Dardaine

emmanuel dardaine expert cloud