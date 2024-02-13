Sécurité



La résidence des données est un sujet d’actualité, en particulier pour les données cloud. Les raisons sont nombreuses, mais l’accent a été motivé par le Règlement général sur la protection des données (RGPD), qui régit la confidentialité des informations dans l’Union européenne et l’Espace économique européen.

Le RGPD définit l’exigence selon laquelle les données personnelles et la confidentialité des utilisateurs soient adéquatement protégées par les entreprises qui collectent, traitent et stockent ces données. Après le déploiement du RGPD, d’autres pays tels que l’Australie, le Brésil, le Canada, le Japon, l’Afrique du Sud et les Émirats arabes unis ont adopté leur propre législation en matière de protection des données.

Cela signifie que la confidentialité des données est une préoccupation continue, et que la pression exercée sur les entités par le biais de la législation continue à augmenter. Pour les entreprises qui génèrent, collectent et stockent des données, il est urgent de trouver une solution à ce problème, en particulier dans le cloud.

Si le respect de la confidentialité et de la protection des données n’est pas garanti, les risques et sanctions pourraient devenir écrasants. Ainsi, en mai 2023, Meta, la société mère de Facebook, a été condamnée à payer un montant record de 1,3 milliard de dollars (1,2 milliard d’euros) à l’Union européenne pour ne pas avoir respecté le RGPD.

Il s’agit évidemment d’une amende impressionnante. Même si le montant est réduit avant sa finalisation, le précédent a été créé et sert d’avertissement à toutes les entreprises afin d’assurer la protection des données et de la confidentialité.

Qu’est-ce que la résidence des données ?

Trois termes relèvent de la notion de résidence des données : résidence des données, localisation des données et souveraineté des données. Voici une brève explication de chacun :

  1. Résidence des données : la résidence des données est l’emplacement physique ou géographique des données d’une entreprise. Selon les lois sur la protection des données comme le RGPD, les entreprises peuvent être tenues de stocker certaines données dans le pays ou la région où elles sont collectées.
  2. Localisation des données : la localisation des données fait référence à l’obligation de conserver les données dans un lieu et une juridiction spécifiques.
  3. Souveraineté des données : la souveraineté des données concerne les droits et le contrôle des données en fonction de la juridiction du stockage des données et du traitement.

Pourquoi est-il si compliqué d’assurer la résidence des données dans le cloud ?

Ce qui rend la résidence des données cloud si complexe, c’est la manière dont les ressources cloud sont déployées et utilisées. Il existe trois principaux types de provisionnement cloud : avancé, dynamique et alloué à l’utilisateur.

Toutes ces méthodes présentent des risques pour les données, mais la menace la plus importante provient du provisionnement dynamique, où les ressources cloud, y compris les données, sont allouées à la demande.

Un autre facteur est la nature même des workloads cloud natifs. Les microservices éphémères qui vont et viennent dans le cloud peuvent compliquer la détection et le suivi des accès aux données. Cela peut rendre plus difficile et plus complexe la garantie de la résidence, de la localisation et de la souveraineté des données.

Les applications cloud natives sont conçues à l’aide de multiples services, petits et interdépendants, appelés microservices. En voici des exemples :

  • Interfaces de programmation des applications (API) et points de terminaison
  • Maillage de service
  • Conteneurs
  • Orchestrateur/gestionnaire de conteneurs

Ces composants cloud natifs transmettent ou déplacent des données entre eux et peuvent présenter des vulnérabilités susceptibles d’entraîner une perte ou un vol de données non détectés. Cela peut rendre compliquer la résidence, la localisation et la souveraineté des données, et entraîner une non-conformité.

Le chemin vers la protection et la conformité de la résidence des données : comment s’y prendre ?

Il existe deux capacités essentielles pour garantir la résidence des données : la localisation et la souveraineté. La première est une technologie qui détecte l’emplacement des données dans le cloud, les copies de ces données et leur déplacement. La seconde est la technologie qui centralise, analyse et établit des rapports sur la conformité des environnements cloud.

Une plateforme de gestion de la posture de sécurité des données (DSPM) offre ces fonctionnalités en améliorant la visibilité sur l’activité des utilisateurs et les risques comportementaux, et en aidant les entreprises à se conformer à la réglementation.

Un DSPM est une plateforme de protection des données cloud qui localise à la fois les données et les copies de données stockées dans le cloud et qui suit également les flux de données en provenance de et circulant vers les ressources cloud pouvant présenter des risques. Un DSPM identifie et classe les données sensibles dans et entre les workloads cloud afin que les entreprises puissent agir pour remédier aux problèmes réels et potentiels de résidence, de localisation et de souveraineté des données.

  • Un DSPM aide les utilisateurs à comprendre où se situent les données réglementées par le RGPD dans des environnements cloud complexes
  • Il découvre et classe les données fantômes afin de mieux sécuriser l’environnement et de répondre aux exigences du RGPD
  • Les utilisateurs peuvent apprendre comment les données circulent réellement afin de prendre des mesures pour réduire les vulnérabilités liées au RGPD et éviter des amendes coûteuses.

IBM Security Guardium Insights

IBM Security Guardium Insights est une solution de sécurité des données, de conformité et de DSPM. Elle offre aux entreprises une visibilité sur les régions et les emplacements où résident les données sensibles et réglementées basées sur le cloud. Elle les aide également à comprendre comment les données circulent dans et entre les emplacements cloud et les applications SaaS, afin qu’elles ne se retrouvent pas au mauvais endroit ou entre de mauvaises mains.

Cela permet aux entreprises de se conformer aux exigences de résidence des données telles que décrites par le RGPD, qui oblige à veiller à ce que les données personnelles soient stockées et traitées correctement dans des zones géographiques spécifiques.

IBM Security Guardium Insights est une plateforme de conformité SaaS et sur site cloud hybride qui offre une visibilité sur l’activité des utilisateurs et les risques comportementaux, contribuant au respect des réglementations de conformité.

Ensemble, IBM Guardium Insights et DSPM fournissent une protection avancée des données et permettent une mise en conformité pour protéger les données dans des environnements multicloud, clouds publics, privés et cloud hybride, ainsi que pour analyser et compiler cette posture de données en rapports de conformité personnalisables.

Découvrez comment IBM Security Guardium Insights peut vous aider à répondre à vos exigences actuelles en matière de résidence, de localisation et de souveraineté des données. Pour en savoir plus sur la résidence des données, consultez notre webinaire Naviguer dans la résidence des données.

