Protection des données ou cyber-résilience ?

Protéger les données personnelles d’entreprise, tout en anticipant le pire. En matière de cybersécurité, telle est aujourd’hui la doctrine d’un nombre croissant d’organisations. Car aujourd’hui, nul ne peut se prétendre à l’abri d’un sinistre ou d’une attaque cybercriminelle.

Si l’on se concentre uniquement sur la partie IT du PRA, on constate que 85 % des entreprises ont déclaré avoir été victimes d’au moins une cyberattaque au cours des 12 derniers mois. Or, lors de la restauration, seules 57 % des données ont pu être récupérées selon le rapport 2023 du « Data Protection Trends » de notre partenaire Veeam.

Traitement et protection des données d’entreprise en France et en Europe

La protection des données personnelles d’entreprise est sur toutes les lèvres et dans tous les esprits au sein des entreprises. L’environnement réglementaire actuel en témoigne. Le RGPD (Règlement Général de Protection des Données), entrée en vigueur depuis 2018 (déjà 5 ans !), a fortement fait progresser l’encadrement du traitement des données de manière égalitaire dans tout le territoire de l’Union Européenne. De son côté, la directive NIS 2 (Network and Information Security version 2), qui a été publiée au Journal officiel de l’Union Européenne fin 2022 et que chaque état membre est en train de traduire dans son droit national, va faire en sorte d’accorder et de renforcer les normes de sécurité au sein des entreprises sur le territoire européen en rapprochant le travail des RSSI (Responsable de la Sécurité des Systèmes d’Information) de celui des DPO (Délégué à la Protection des Données).

Traitement et protection des données d'entreprise en France et en Europe

Quant au futur schéma européen de certification des services cloud (EUCS), l’Union Européenne souhaite à travers lui harmoniser les différents schémas nationaux de certification des « clouds de confiance » au sein des états membres, à l’instar de ce qui existe déjà en France avec SecNumCloud.

Au-delà de l’aspect réglementaire, le Cloud Act – qui permet aux autorités judiciaires des États-Unis d’avoir accès aux données stockées à l’étranger par des entreprises américaines – représente une véritable épée de Damoclès faisant peser un risque sur l’accès et le traitement des données personnelles des organisations françaises. Ces dernières se posent en effet la question suivante :

« Un juge américain pourrait-il donner accès aux données de mon organisation à quelqu’un d’autre que nous ? »

Clouds souverains ou comment protéger ses données personnelles d’entreprise ?

Dans ce contexte de protection des données, de nouveaux acteurs sont en train d’émerger. Tout d’abord, les clouds de confiance : ce sont des entités juridiques françaises ou européennes, non liées au droit américain, qui peuvent utiliser toutes les technologies qu’elles souhaitent. Mais aussi les clouds souverains : ce sont des entités du même type, mais dont les technologies sont de droit français ou européen. Dans les deux cas, les données doivent être hébergées en France ou en Europe et doivent être garanties par les lois en vigueur dans les pays concernés.

Chez Bouygues Télécom Entreprises, nous sommes un acteur reconnu du cloud de confiance depuis plusieurs années grâce à notre filiale OnCloud. Mais, pour répondre aux exigences de certains clients dans le domaine de la santé par exemple, nous avions besoin d’aller plus loin dans la protection et la confidentialité de vos données. C’est la raison pour laquelle nous avons investi, avec Docaposte, Dassault Systèmes et la Banque des territoires, dans un consortium ayant donné naissance au cloud souverain Numspot. Ce dernier bénéficie de la labellisation SecNumCloud, label de sécurité très exigeant délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information).

« Comme le marché est dominé par des géants américains, et qu’un certain nombre de données sont sensibles, il est bon pour la France, l’Europe, le service public, les acteurs de la santé et de la banque / assurance, de disposer d’offres alternatives où les risques liés à la réglementation ou à la sécurité des données
n’existent pas
»

a déclaré Alain Issarni, Président exécutif de Numspot, à l’occasion de la tournée des B-Talks organisée à travers la France durant les mois de mai, juin et juillet 2023.

Protection des données personnelles d’entreprise et résilience au coude à coude

Mais la guerre contre les pirates est une lutte sans fin. Il faut être présent sur tous les fronts en permanence et avoir les bons réflexes ! C’est la raison pour laquelle, au-delà de toutes les mesures mises en place pour protéger leurs données, de plus en plus d’entreprises considèrent que leur capacité de résilience, et donc de reprise d’activité, compte tout autant que la protection des données elles-mêmes. Un incendie, une inondation, une panne d’électricité, une erreur humaine, une attaque cybercriminelle… la probabilité qu’un incident mineur ou qu’un accident de grande ampleur se produisent augmente dramatiquement année après année.

Protection des données personnelles d'entreprise et résilience au coude à coude

Dès lors, la question est de savoir comment une entreprise pourra déclencher son Plan de Reprise d’Activité (PRA) afin de remettre sur pied ses activités le plus rapidement possible, tout en minimisant les pertes de données subies. Si l’on se concentre uniquement sur la partie IT du PRA, on constate que 85 % des entreprises ont déclaré avoir été victimes d’au moins une cyberattaque au cours des 12 derniers mois. Or, lors de la restauration, seuls 57 % des données ont pu être récupérés, selon les chiffres fournis par l’édition 2023 du rapport « Data Protection Trends » de notre partenaire Veeam.

« Une politique de sauvegarde efficace est la première brique de sécurité à mettre en œuvre. Quoi qu’il advienne, il faut pouvoir poursuivre et redémarrer l’activité à partir de sauvegardes saines. Notre mission est d’assurer la continuité du système d’information de l’entreprise, quel que soit le type d’attaque, de sinistre ou d’erreur humaine »

a déclaré Marc Villeneuve, Senior Director Channel, Cloud & Alliances pour la France et l’Afrique francophone, chez Veeam Software, partenaire de Bouygues Telecom Entreprises OnCloud, lors des B-Talks 2023.

Politique de protection des données : testez régulièrement votre PRA !

Cette règle vient en complément de d’une autre règle qu’il est recommandé d’appliquer scrupuleusement. La première est celle des 3-2-1 : « trois copies des données, sauvegardées sur deux médias différents, dont un média hors site. La deuxième consiste à tester régulièrement le PRA mis en œuvre, activité dans laquelle l’entreprise VMware un autre de nos partenaires s’est spécialisée.

« Un PRA efficace est un PRA qui se teste. Pour cela, il faut que les entreprises puissent accéder facilement à un portail de délégation afin de tester quand elles le souhaitent leur PRA », a précisé Pierre Amann, Président Directeur Général de Bouygues Telecom Entreprises OnCloud.

« Autre facteur clé de réussite : la mutualisation des ressources qui permet d’obtenir des ratios économiques pertinents pour le PRA, y compris pour les petites entreprises ou les départements de grandes entreprises. Enfin, la micro-segmentation garantit que deux clients présents sur le même serveur ne pourront jamais communiquer entre eux, ce qui est un gage très fort en matière de sécurité »

La protection des données et la cyber-résilience sont donc aussi importantes l’une que l’autre. Les entreprises se doivent de tout mettre en œuvre pour protéger leur patrimoine informationnel, tout en prévoyant qu’elles seront peut-être obligées un jour de redémarrer leurs activités suite à un sinistre ou à une attaque.

Ce qu’il faut en retenir

– Les entreprises doivent aujourd’hui relever de nombreux défis en matière de protection des données. Pour les accompagner, un véritable arsenal réglementaire se construit progressivement autour de lois telles que : RGPD, directive NIS 2, EUCS…

– De nouveaux acteurs voient également le jour, comme les clouds de confiance et les clouds souverains, parmi lesquels figure Numspot, consortium dans lequel nous avons investi aux côtés de Docaposte, Dassault Systèmes et la Banque des territoires.

– Dans le même temps, aucune organisation n’est à l’abri d’un accident majeur qui pourrait paralyser ses activités. C’est la raison pour laquelle la cyber-résilience, c’est-à-dire la capacité à assurer en toutes circonstances la continuité du système d’information de l’entreprise, doit être prise en considération au même niveau que la protection des données.

Lire aussi : Cyberattaque : le guide complet pour se prémunir en entreprise

Découvrez notre solution de Plan de Reprise d’Activité

Votre entreprise est une cible pour les cybercriminels et vous devez être prêt en cas d’attaque malveillante pour éviter l’interruption de votre activité. Optez pour notre solution de Plan de Reprise d’Activité.

Partager cet article