Contact
France
Contact us
Replay

Développer une Intelligence Artificielle sécurisée et conforme !

News and insights
#Artificial intelligence

La protection des données, un enjeu clé

 

La protection des données, liée à la sécurité et à la confidentialité est souvent utilisée comme le critère discriminant pour arbitrer sur l’utilisation de plateformes cloud.

Pourtant, selon une étude Gartner publiée en 2016, d’ici 2020, les workflows hébergés sur le cloud public rencontreront 60% moins de faille de sécurité que les data centers traditionnels*.

Sur le plan juridique, les principaux fournisseurs de cloud respecte les 8 grands principes du RGPD :  

  1. Licéité et loyauté
  2. Transparence
  3. Limitation des finalités
  4. Minimisation des données
  5. Exactitude
  6. Limitation de la conservation
  7. Intégrité et  confidentialité
  8. Responsabilité

 

Selon le RGPD, le data controller (entité qui collecte la donnée donc l’annonceur) est responsable du respect de ces principes. Toutefois, les principaux fournisseurs de Cloud (data processor) proposent des approches pour se conformer aux exigences règlementaires, depuis une première phase d’évaluation jusqu’à la mise en conformité.

Même si d’un point de vue purement juridique, les données des entreprises pourraient être chargées librement sur le cloud, la principale barrière à l’adoption de ces solutions reste la réticence des annonceurs à confier leur patrimoine data à un tiers. Le principal point d’attention se situe autour de la sécurité, le cloud présentant des menaces propres au fonctionnement à la demande et partagé de ses infrastructures.

 

Pour répondre à cet enjeu sécuritaire, les principaux fournisseurs de Cloud proposent des services et mesures garantissant à leurs clients une sécurité accrue.


Les 5 chantiers à lancer pour sécuriser ses infrastructures et respecter les données de ses clients

Partant de cette cartographie, on distingue cinq principaux chantiers sécurité & privacy : 

  1. la confidentialité et souveraineté de la donnée,
  2. la sécurité physique, 
  3. la sécurité des infrastructures, 
  4. la sensibilisation et gestion des utilisateurs, 
  5. la détection et gestion des incidents. 

 

Ces différents piliers peuvent être traités par la voie de 3 leviers : 

  • La contractualisation : l’entreprise négocie avec le fournisseur de cloud pour avoir des garanties contractuelles autour de la sécurité des données et des infrastructures (exemple : les garanties autour de la sécurisation des datacenters du partenaire)
  • Les process internes et les outils (cloud ou on premise) : l’entreprise s’outille et s’organise pour garantir une sécurité accrue (exemple : la mise en place de process d’anonymisation, la définition de rôles spécifiques, l’utilisation d’une brique d’authentification)
  • La confiance : l’entreprise n’a pas d’autre levier que celui de la confiance envers son fournisseur de cloud

 

Pour chaque pilier il existe deux niveaux de protection : 

  • Les configurations proposées par les différents éditeurs de cloud, qui permettent de répondre en moyenne à 95% es exigences sécurité des grands groupes
  • Les mesures spécifiques, mises en place par les directions sécurité internes qui couvrent les 5% restants

 

Pour Jean-Christophe Laissy, DSI de Véolia, le cloud public garantit un niveau de sécurité plus élevé que celui observé au niveau des data centers on premise.

“J’espère aujourd’hui que plus personne ne pense que son data center est mieux protégé qu’un data center dans le cloud public contre les risques d’intrusion externe. On en est au même stade qu’avec les banques il y a une centaine d’années : plus personne ne pense que son argent est mieux protégé sous son matelas qu’à la banque.”

 

Téléchargez notre rapport sur l’ai factory !