Quelle évolution pour la localisation des données ?

Dans l’ère post-Snowden dans laquelle nous sommes entrés, la localisation physique des données va devenir de plus en plus inopérante. Tel est l’avis du Gartner dans une note sur la sécurité des données.

La localisation physique des données a toujours de l’importance mais devient de plus en plus inopérante et sera remplacer par une ensemble de paramètres légaux, politique et logiques pour la majorité des organisations et entreprises.

« Le nombre de discussions sur la résidence des données et la notion de souveraineté a littéralement explosé ces douze derniers mois, mettant un frein à l’innovation technologiques dans nombre d’entreprises, considère Carsten Casper, Vice President du Gartner. Nourrie par la dominance des fournisseurs américains dans le domaine de l’Internet et la loi du Patriot Act, la controverse s’est considérablement accrue avec les révélations sur les activités de surveillance de masse par Edward Snowden ».

Il est vrai que la question concerne de nombreuses parties-prenantes telles que les conseillers juridiques, les clients, les autorités de régulation, les représentants des salariés, la direction et le grand public. Les dirigeants des entreprises doivent prendre des décisions tout en acceptant les différentes sortes de risques qui leur sont inhérents.

Dans ce cadre, le Gartner identifie quatre formes de la localisation :

- Physique : c’est la forme historique dans laquelle la majorité des gens pensent que proximité physique équivaut à une garantie sur le contrôle des données et la sécurité. Même s’ils pensent qu’une localisation à proximité des données n’empêche en aucune manière qu’elles puissent être accédées à distance. Malgré tout, ce souhait de localisation à proximité perdure indépendamment de toute réflexion rationnelle. Il est donc temps de surpasser cette sorte de limitation psychologique qui affecte nombre de décideurs ;

- Légale : Selon le Gartner, de nombreux responsables informatiques ne sont pas au fait du concept de localisation légale. Celle-ci est déterminée par l’entité légale qui contrôle ces données. D’ailleurs, il peut y avoir une autre entité qui assure le traitement de ces mêmes données sous la responsabilité de la première, une entreprise de services par exemple.

Les affirmations selon lesquelles il est illégal de stocker des données en dehors d’un pays sont souvent des interprétations de législation qui sont parfois relativement obscures, poursuit Carsten Casper. Chaque organisation doit décider si elle accepte ces interprétations.

- Politique : des considérations telles que l’obligation légale d’accéder à des données, l’utilisation de main-d’œuvre à bas coût qui place ces emplois dans des situations de risque ou des situations dans lesquelles les questions de politique internationale est plus important pour les entreprises publiques, les ONG ou les entreprises qui traitent avec des millions de clients sont déjà faussées.

- Logique : cette notion est en train d’émerger comme la solution la plus probable et la plus solide pour des multinationales. Elle est déterminée par qui a accès aux données. Par exemple, une entreprise allemande signe un contrat avec une filiale irlandaise d’un fournisseur de service cloud américain et qui sait clairement qu’une sauvegarde de toutes les données est effectué dans un data center indien. Alors que la localisation du fournisseur est l’Irlande, la localisation politique est les Etats-Unis et la localisation physique en Inde. Mais d’un point de vue logique, toutes les données peuvent être en Allemagne.

Pour que cela soit possible, toutes les données qui transitent et qui sont stockées en Inde doivent être chiffrées avec les clés résidant en Allemagne. Bien sûr, de telles architectures engendre un accroissement du coût et de la complexité et limite les possibilités d’utilisation.

Aucune de ces notions de localisation n’apporte une solution complète et satisfaisante à ce problème. Le seule solution sera hybride et empruntera un peu à ces quatre formes de localisation.

Guy Hervier
Source