Confier les données de votre boîte aux “clouds” américains, est-ce sûr?
Les données des PME et des grands groupes belges transitent chaque jour par Office 365, Microsoft Teams, GSuite, Slack, Dropbox, WhatsApp, etc. Point commun : la législation américaine, dont les pouvoirs d’intrusion ont été intensifiés en 2018. Est-ce dangereux ? Peut-on laisser les données de nos entreprises dans les ” clouds ” américains ou faut-il privilégier des acteurs plus proches de nous ?
Tout le monde le répète : la transformation numérique des entreprises belges présente des perspectives de croissance dans tous les secteurs de notre économie. Une étude Statista datant de la fin de l’année 2019 donnait la mesure de l’importance des revenus du marché des services ” cloud ” en Belgique : 625 millions d’euros en 2018 et près de 926 millions l’an prochain.
Big data et intelligence artificielle font des données un actif stratégique dont le potentiel fait parfois oublier le caractère sensible. Les citoyens européens sont aujourd’hui mieux protégés dans l’exploitation de leurs traces numériques grâce au RGPD (règlement général de protection des données) mais les entreprises ne sont pas logées à la même enseigne, toujours tributaires de prestataires majoritairement américains. Ainsi, le marché du cloud européen est aujourd’hui dominé par des acteurs comme Amazon, Google, Microsoft, Dropbox, Box, Citrix et Apple.
Face au risque d’espionnage (industriel, étatique) et aux cyberattaques, les responsables informatiques des entreprises se retrouvent désormais face à un tournant historique de leur mission : sécuriser le périmètre de leurs infrastructures, de plus en plus éparpillées et interconnectées. En jeu : la souveraineté des données, confidentielles ou pas.
Sous le joug du Cloud Act américain
Le Cloud Act ( Clarifying lawful overseas use of data act) est une loi fédérale américaine promulguée début 2018. Elle permet aux forces de l’ordre et aux agences de renseignement américaines d’obtenir des informations stockées sur des serveurs appartenant à des opérateurs et des hébergeurs américains, peu importe que ces serveurs soient situés sur le sol des Etats-Unis ou ailleurs dans le monde.
Ces ” grandes oreilles ” de l’Oncle Sam ont été largement associées aux risques qui pèsent sur la vie privée des utilisateurs finaux, mais la confidentialité des données stratégiques de nos entreprises a encore rarement été placée au centre du débat. Les choses changent car les enjeux sont fondamentaux, comme l’explique Frank Karlitschek, CEO de Nextcloud, une solution européenne de cloud souverain utilisée notamment par le gouvernement allemand : ” Il faut comprendre qu’en hébergeant des données auprès d’une entreprise en dehors de l’Union européenne, qu’elle soit américaine, russe ou chinoise, les data de cette entreprise tombent immédiatement dans le giron d’une juridiction étrangère “.
Dans le cas qui nous occupe, le Cloud Act donne concrètement la possibilité au gouvernement ou à la justice américaine d’accéder aux données d’une PME belge, même si celles-ci sont bien hébergées en Belgique par un acteur américain. ” Et il se peut que vous n’en sachiez jamais rien, même s’il faut mettre au crédit de Google une volonté d’un peu mieux informer ses utilisateurs via le ‘rapport de transparence’, dit-il. D’ailleurs, quel intérêt ont ces entreprises à vous informer d’un accès à vos données ? ”
Un ” cloud ” souverain européen (et vite ! )
Nombre d’acteurs se posent désormais en alternative aux solutions américaines, OVH en tête. La seule entreprise européenne à se classer dans le top 10 mondial du cloud a été fondée près de chez nous, à Roubaix (France). Rebaptisée OVH Cloud fin 2019, elle entend désormais se poser en rempart contre les géants chinois et américains.
Volonté identique pour Nextcloud, un cloud open source créé en Europe et rebaptisé Nextcloud Hub il y a peu pour mieux se poser en solution de cloud sécurisée et souveraine aux hébergeurs américains. Frank Karlitschek, le CEO met en avant la capacité de contrôler la partie hébergement : ” Si vous hébergez vos données en Europe en utilisant notre solution, vous pouvez le faire dans votre data center ou opter pour l’un de nos hébergeurs partenaires “. L’entreprise, basée à Stuttgart, a placé la sécurité au centre de sa communication et des enjeux : ” Par défaut, les données sont protégées de bout en bout par un système de cryptage. Cela signifie que même les administrateurs n’ont pas accès aux données ou que le département RH ne peut pas lire les documents édités par les services financiers “.
Ce discours sur les données hébergées est bien optimiste, mais qui nous dit qu’il est vrai ? ” Notre code source est ouvert. Il est open source et n’importe qui peut l’auditer, ce qui n’est pas le cas d’Office 365 de Microsoft, répond Frank Karlitschek. Il n’y a pas de porte dérobée chez nous. C’est un élément essentiel pour la sécurité. ”
ContactOffice et Mailfence : la défense belge
Depuis plus de 10 ans, à Watermael- Boitsfort, ContactOffice édite une suite de travail collaboratif qui représente une alternative à Office 365 et GSuite de Google. Outre la messagerie, l’application offre des fonctions de carnet d’adresses, de calendrier et d’hébergement de données.
Mailfence en est une version ” durcie ” et sécurisée, proposée à des tarifs relativement proches de ceux pratiqués par les géants américains : entre 2,50 et 25 euros par mois. Patrick De Schutter, cofondateur et managing director, explique sa stratégie : ” Nous faisons partie d’un mouvement croissant de services tels que DuckDuckGo ou Signal qui offrent une réponse aux individus et aux entreprises qui veulent quitter les solutions dites Gafam “. L’avantage d’être hébergé en Belgique ? ” Le respect strict et inconditionnel des données confidentielles. ”
Mailfence a aujourd’hui séduit l’Ordre des barreaux francophones et germanophone de Belgique, mais aussi nombre d’entreprises hors Europe. ” Parce que nous disposons d’un bouclier : le RGPD et la législation européenne sur la vie privée, explique le directeur. Soyons lucides : le Cloud Act, c’est l’ombre de la NSA et de la CIA sur les données de nos citoyens et de nos entreprises. Si l’une des agences de renseignement le juge nécessaire, elle demandera aux entreprises américaines de lui fournir des données spécifiques… qu’elle obtiendra. ”
Patrick De Schutter avance la nécessité absolue de conscientiser au plus haut niveau sur l’importance d’une solution souveraine. ” C’est aux entreprises de choisir ce qui est le mieux pour elles, dit-il. Elles doivent être conscientes que l’hébergement de données d’entreprise dans un service de cloud américain tiers peut conduire à une catastrophe potentielle pour elles. ”
Le retour du coffre-fort suisse
La Suisse entend, elle, se poser en forteresse absolue non seulement face aux Etats-Unis mais également face à certaines législations européennes. Ainsi, depuis 2013, trois anciens ingénieurs du Cern ont décidé de créer Protonmail, un service de courriel disposant d’un chiffrement automatique. Un très haut niveau de confidentialité, lui aussi reposant sur des bases open source mais officiellement audité. Problème : la solution, qui évolue lentement, est loin d’être aussi complète que les équivalents développés par Microsoft, Google, IBM, Zimbra ou Amazon. Elle est aujourd’hui adoptée par des activistes et des journalistes mais peu de structures professionnelles de grande ampleur s’y aventurent.
C’est dans ce sillon que le suisse Infomaniak a lancé, en février dernier, kDrive, un cloud qui ” respecte la vie privée pour stocker ses données et collaborer en ligne “, avec des ambitions bien plus larges. Les fichiers sont chiffrés et sauvegardés en triple sur des serveurs basés exclusivement dans le pays. Le ” nuage ” a clairement identifié sa cible (Dropbox, Google Drive, OneDrive) et fournit une suite de productivité européenne (OnlyOffice) permettant aux entreprises de se passer des solutions Google Drive ou Microsoft Office. KDrive est la première étape d’une ambitieuse stratégie dont l’objectif est clair : créer ” une vraie alternative aux Gafam “. Dans sa feuille de route 2020, Infomaniak affirme vouloir rapidement rapprocher sa solution WorkMail de kDrive et de lancer une alternative open source à Slack, dont la prolifération dans les entreprises européennes peut elle aussi poser une menace pour la confidentialité de données.
Les nouveaux banquiers suisses de nos données profitent de leur situation géographique et juridique avantageuse, comme le confirme Marc Oehler, COO d’Infomaniak : ” Notre motivation, c’est que le respect de la vie privée est un principe non négociable. C’est pour cela que nous développons nos propres centres de données et nos propres services : afin de ne jamais avoir à faire de concessions sur ce que l’on pourrait appeler nos valeurs “. L’entreprise ne souhaite pas non plus déprendre d’investisseurs étrangers : elle appartient toujours à ses fondateurs et à ses employés. Quant aux données des clients, particuliers comme entreprises, elles sont et ” resteront stockées dans (leurs) propres data centers “.
Par Cédric Godart.
Pour Microsoft, l’application du Cloud Act se traduit d’abord par une redirection des autorités vers le client, ” à moins qu’un tribunal américain n’émette une ordonnance de non-divulgation valide “. ” Dans le cas très rare où nous serions obligés de divulguer des données, nous en informerons systématiquement le client “, poursuit la porte-parole belge, Karen Verstappen.
Même volonté de clarté du côté de Google, où l’entreprise met en avant son Transparency Report, un rapport de transparence où le groupe détaille le nombre et le type de requêtes reçues des gouvernements pour accéder aux données des utilisateurs. Google insiste : le géant ne fournit pas d’accès direct ( backdoor) aux données de ses clients, ” que ce soit à la justice américaine ou à n’importe quel autre gouvernement dans le monde “.
Christophe Reynaert a fondé IT101 en 2008, une entreprise de sécurité informatique rachetée par l’opérateur Destiny. Il livre une opinion plus nuancée sur la notion d’alternative et insiste, lui, sur ce qui menace le plus les données de l’entreprise : les cyberattaques.
TRENDS-TENDANCES. Le ” cloud ” européen, vous n’y croyez pas ?
CHRISTOPHE REYNAERT. Disons que pour communiquer avec ses clients et ses fournisseurs, il est difficile pour une PME de complètement éluder les solutions américaines. Elles sont partout et s’en passer est une illusion, pour l’instant en tout cas. Ce constat établi, notre rôle consiste à sécuriser les échanges. Trop peu d’entreprises investissent aujourd’hui dans la conscientisation de leurs collaborateurs : 80 % des attaques que nous constatons dans les entreprises viennent de l’e-mail.
Pour vous, le risque ne vient pas que des Etats ?
Loin s’en faut. Les hackeurs sont aujourd’hui ” la ” menace la plus colossale et la plus insidieuse. Il faut parfois six mois à une entreprise pour se rendre compte qu’une intrusion a eu lieu. Les conséquences sont graves : quand des données sensibles sont retenues par un hackeur, c’est la continuité de l’entreprise qui est en jeu. Ce que les boîtes belges doivent comprendre, c’est qu’il faut un plan d’attaque.
Pas juste une volonté de reprendre la main sur les données hébergées, donc ?
Exact. Ce que nous disons, c’est que la sécurité n’est pas un projet, mais un processus, qui évolue en permanence. L’artillerie de sécurité est propre à chaque entreprise et chaque structure, mais commencer par l’e-mail est une clé. On anticipe alors une majeure partie des risques. Pour y arriver, il faut parler de protection et éduquer les utilisateurs en expliquant ces enjeux. Enfin, il faut élaborer ce fameux plan d’attaque. Chaque décision coûte une fortune en cas d’attaque.
C’est quoi un bon plan d’attaque ?
Un bon plan est un plan qui est meilleur que celui de votre entreprise voisine.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici