Les réglementations internationales font du traitement des données en nuage un cauchemar. Les concepts fondamentaux de cet article peuvent vous aider à ne pas enfreindre les lois quant à la souveraineté des données.
Nous sommes vendredi, et vous êtes sur le point de fermer votre ordinateur portable et de passer au week-end, lorsque vous recevez un e-mail urgent indiquant qu’en raison du transfert illégal de données hors du pays, la société a été condamnée à une amende de $250’000.
Que s’est-il passé ?
Comme par malchance, votre fournisseur de cloud computing sauvegarde la base de données contenant des données souveraines sur un système de stockage situé à l’extérieur du pays. Il y a une bonne raison à cela : Le transfert des données à des fins de continuité des activités et de reprise après sinistre dans une autre région réduit le risque de perte de données si la région principale est en panne.
Bien entendu, ce n’est pas la faute du fournisseur de services en nuage. Il s’agit d’une erreur de configuration courante qui se produit principalement parce que l’équipe de CloudOps ne comprend pas les problèmes liés aux lois et réglementations concernant les données. L’administrateur de la base de données peut ne pas avoir eu conscience de ce qui se passait. Le manque de formation a conduit à ce problème.
La souveraineté des données est plus une question juridique que technique. L’idée est que les données sont soumises aux lois de la nation où elles sont collectées et où elles existent. Les lois varient d’un pays à l’autre, mais la gouvernance la plus courante que vous verrez est de ne pas permettre à certains types de données de quitter le pays et cela à tout moment. D’autres réglementations imposent le cryptage et précisent comment les données sont traitées et par qui.
Ces règles étaient assez faciles à suivre lorsque nous avions des centres de données dédiés dans chaque pays, mais l’utilisation de nuages publics qui ont des régions et des points de présence partout dans le monde complique les choses. Les erreurs de configuration, le manque de compréhension et les erreurs générales entraînent des amendes, des répercussions sur la réputation et, dans certains cas, l’interdiction pure et simple de l’utilisation du cloud computing.
Certaines bonnes pratiques émergent pour traiter de la souveraineté des données dans le nuage. Les systèmes de gouvernance des données valent leur pesant d’or. Lorsqu’il s’agit de réglementations liées aux données, ces systèmes vous éviteront des ennuis, car ils ne permettront pas aux humains de violer les politiques en matière de données qui sont établies pour refléter la loi du pays où les données résident.
La formation est un autre point critique. La plupart des problèmes de souveraineté des données sont dus à l’erreur humaine. Toute personne qui transmet des données doit connaître les règlements. De nombreux pays l’exigent.
Utilisez des systèmes de sécurité spécialement conçus pour traiter les questions de souveraineté des données. Les systèmes de sécurité basés sur l’identité peuvent répondre à des besoins de sécurité particuliers en fonction de l’identité des données, crypter les données conformément aux réglementations, et également garantir qu’elles ne sont pas transmises hors du pays ou volées d’une autre manière.
Il n’y a pas de véritable solution miracle dans ce domaine. Au fur et à mesure que les pays deviennent plus précis sur la façon dont leurs données sont gérées et que l’utilisation de nuages publics internationaux se répand, de nouveaux problèmes vont forcément se poser. Les entreprises sont bien avisées d’être proactives dans ce domaine, sans quoi les choses peuvent rapidement déraper.
Demander conseil auprès d’une société de conseil spécialisée peut vous aider à vous assurer que vos données sont gérées de manière optimale et conformément aux réglementations en vigueur.