La gestion de nos données: une priorité!

La commission de la politique de sécurité du Conseil national réclame un cloud souverain pour la Suisse. Elle demande, à juste titre, que le projet associe les milieux académiques, scientifiques et économiques, dans l’optique de partenariats publics-privés. Tout ne devrait donc pas être centralisé par la Confédération. La prise de conscience de l’importance du stockage et de la protection des données est en train de faire un bond de géant. Rappelons qu’à fin 2020, la Suisse ne voyait pas la nécessité de se doter d’une infrastructure numérique indépendante, estimant qu’il n’était pas démontré qu’il s’agissait là d’un «facteur de succès pour la place économique suisse». Les mentalités évoluent et la question du stockage et du traitement des données se pose dorénavant, avec urgence.

 

Les données sensibles

Aujourd’hui de plus en plus d’entreprises, d’autorités, d’administrations et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur le cloud computing. Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

 

La première question qui devrait être posée est celle du degré de sensibilité et de criticité des données confiées, pour leur assurer le plus haut niveau de sécurité. Les données les plus sensibles doivent être inviolables et inaccessibles. Nous devons donc pouvoir en garantir l’accès et l’intégrité, que ce soit lors du stockage, des transferts et du traitement.

 

Les paramètres importants pour protéger les données

Aborder le problème de la gestion et du stockage des données sous l’angle de la souveraineté territoriale est extrêmement important mais pas suffisant. Il est important d’avoir une approche globale qui permet de pérenniser le système dans son ensemble. Les paramètres importants qui doivent entrer en ligne de compte sont :

  • la localisation des données et leur for juridique
  • la capacité d’influence et d’accès (eg US Cloud Act)
  • la gestion du cryptage (si nécessaire) et des clés de cryptage en particulier
  • un concept qui englobe une stratégie cloud, une gouvernance, la security compliance, le data management,
  • une approche systémique qui couvrira les outils métiers et autres systèmes legacy, un plan de migration tenant compte des intérêts, besoins et contraintes du client, ainsi que leur paramétrage,
  • Un monitoring précis qui devra prendre en compte les coûts, les charges des systèmes, mais également la sécurité en temps réel
  • Une identification et une gestion des risques (souveraineté, espionnage économique, dépendance envers un fournisseur, etc…) avec des scénarii concrets, des échelles des temps et les plans de mitigation des systèmes et des données.

 

Par ailleurs, l’informatique en nuage pose le problème de la perte de contrôle voire d’usage abusifs des données. Il est donc vital dans cette approche de pouvoir faire confiance à un ou des partenaires, qui sauront amener les compétences et l’expérience nécessaire pour accompagner une migration dans le cloud.

 

Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire, en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique. Le rapport de confiance avec le prestataire et la gestion du cycle de vie des données de bout en bout est aussi important que la localisation du cloud. Les derniers cas de hacking, de sécurité et des données compromises montrent bien les limites et les risques d’une approche trop restrictive.

 

ELCA a non seulement une très large expérience de tels projets et une palette de solutions liées aux datacenters suisses souverains ELCA et de datacenters publiques (Microsoft Azure, AWS, Google), mais également dans le design de la stratégie cloud, compliance et sécuritaire, les migrations numériques et la gestion de ces infrastructures au niveau opérationnel et sécuritaire.

 

Les investissements conséquents qu’ELCA consent aujourd’hui et en particulier la création d’une entité de Solutions Suisses qui englobe entre autres ELCACloud Services, ELCA Security, sont des éléments importants dans notre stratégie d’accompagnement des sociétés suisses qui veulent protéger, pérenniser et assurer l’intégrité de leurs données et assurer la continuité de leurs activités professionnelles.

Yves Pitton - ELCA

Yves Pitton est membre de la Direction d’ELCA et dirige le pôle «Swiss Business Solutions» du groupe depuis 2022. Il compte plus de 20 ans d'expérience dans les secteurs de l'industrie, des hautes technologies et de l'informatique, notamment en tant que CEO de VTX Telecom. Diplômé en physique de l'Université de Lausanne, il est titulaire d'un doctorat en sciences des matériaux de l'EPFL et d'un MBA avec mention de la SDA Bocconi – Bocconi School of Management.