À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Qu’est-ce que le cloud souverain ?
Publication : mars 2024
Contributeurs : Mesh Flinders, Ian Smalley
Le cloud souverain est un type de cloud computing qui aide les organisations à se conformer à des lois spécifiques régionales et nationales.
Alors que de plus en plus d’entreprises se tournent vers les solutions de cloud hybride pour mener à bien leurs initiatives de transformation numérique, les environnements cloud jouent un rôle de plus en plus important (notamment la manière dont les utilisateurs accèdent aux données, les stockent et les utilisent). Le cloud computing continue de se développer dans le monde entier et les zones géographiques traditionnelles que sont notamment les frontières physiques ne sont plus suffisantes pour protéger les données sensibles.
Accédez au cloud souverain, un concept qui englobe la souveraineté des données, la souveraineté opérationnelle et la souveraineté numérique. Le cloud souverain aide les entreprises à gagner la confiance de leurs clients et à développer leurs activités tout en se conformant aux lois et aux réglementations dans les régions où elles opèrent.
Quel type de protection le cloud souverain offre-t-il ?
Un cloud souverain protège principalement les données des consommateurs et des organisations. Bien que de nombreuses réglementations se concentrent principalement sur la protection des informations personnelles identifiables (PII), selon le secteur, la région ou le cas d’utilisation commercial, elles peuvent également protéger la propriété intellectuelle (PI), les logiciels, les secrets commerciaux, les informations financières et plus encore. Étant donné que les réglementations relatives à la confidentialité des données dans le cloud varient d’un pays et d’une région à l’autre, il n’existe pas de définition unique et acceptée de ce qu’un cloud souverain peut protéger. Les approches varient généralement selon le secteur, le lieu et les besoins de l’entreprise.
Certains frameworks cloud souverains prennent en charge la résidence des données, où les données sont soumises aux lois et réglementations du pays dans lequel elles sont stockées. D’autres traitent de la souveraineté des données, où les données stockées sont soumises aux lois du pays où elles ont été collectées. En fin de compte, les approches de cloud souverain aident non seulement les entreprises à se conformer aux lois entourant leurs données les plus sensibles, mais les aident également à préserver leur résilience.
En savoir plus sur la souveraineté des données, la souveraineté opérationnelle et la souveraineté numérique, les trois piliers du cloud souverain.
Au fur et à mesure que les entreprises transfèrent leurs applications vers le cloud, ce même cloud se transforme rapidement en infrastructure critique.
L’environnement cloud a désormais autant d’importance pour une entreprise que son usine, ses bureaux ou un actif majeur de propriété intellectuelle. De plus, alors que les secteurs hautement réglementés des secteurs privé et public transfèrent leurs services de base vers le cloud, la nécessité de préserver la sécurité des données devient critique.
En outre, l’essor des technologies à forte intensité de données, telles que l’intelligence artificielle (IA) et le machine learning (ML), qui reposent sur un accès rapide et sécurisé aux données, oblige les entreprises à prendre des décisions plus stratégiques en ce qui concerne la technologie cloud. L’IA, et en particulier l’IA générative, ont le potentiel d’alimenter de précieuses innovations commerciales, mais sans un écosystème cloud souverain et solide, elles ne peuvent pas obtenir les résultats escomptés.
Les entreprises dans les secteurs hautement réglementés, tels que la santé et les services financiers, sont confrontées à des difficultés particulièrement importantes. Par exemple en Europe, il existe une proposition appelée European Cybersecurity Certification Scheme for Cloud Services (EUCS) (projet de certification européenne pour les services de cloud) qui vise à unifier les réglementations existantes dans les États membres de l’Union européenne et le Digital Operational Resilience Act (DORA) (résilience opérationnelle numérique), qui vise à traiter les risques liés aux TIC et à établir des règles à propos de la gestion des risques TIC, du signalement des incidents, des tests de résilience opérationnelle et de la surveillance des risques tiers associés aux TIC. De solides solutions de cloud souverain aident les entreprises à rester au fait des organismes de réglementation et des nouvelles législations, ainsi qu’à prendre des décisions plus stratégiques concernant les risques, les données et un environnement de menaces en constante évolution. Examinons certains des avantages les plus importants du cloud souverain pour les entreprises.
Les cinq principaux avantages du cloud souverain d’entreprise
Les entreprises qui souhaitent investir dans un cadre de cloud souverain solide dans le cadre élargi d’un parcours de transformation numérique bénéficient généralement de plusieurs avantages importants. Qu’il s’agisse de mieux contrôler leurs données, d’améliorer la connectivité, la résilience des données et les performances des applications, voici les cinq principales raisons pour lesquelles les entreprises adoptent une approche de cloud souverain.
Une infrastructure cloud souveraine solide permet aux entreprises de contrôler l’endroit où leurs données sont stockées (résidence des données), par exemple une région ou un pays, ou même le centre de données d’un fournisseur de cloud en particulier.
Les solutions cloud souveraines peuvent aider les entreprises de toutes tailles à répondre aux exigences de conformité réglementaire et à suivre l’évolution rapide des lois relatives aux données et à la souveraineté numérique, quel que soit le nombre de pays ou de régions dans lesquels elles exercent leurs activités.
L’adoption d’une approche cloud souveraine permet aux organisations de limiter facilement l’accès de leurs employés, de leurs partenaires commerciaux et même de leurs fournisseurs de services cloud (CSP) aux données en fonction de leur citoyenneté, de leur localisation physique et d’autres facteurs.
Les CSP qui exploitent des écosystèmes de cloud souverain aident les entreprises accroître leur résilience opérationnelle en adoptant une approche stratégique qui part du principe que les perturbations sont inévitables. En offrant des services hautement disponibles et en sauvegardant les données critiques sur l’infrastructure souveraine, les CSP aident les organisations à mieux absorber les chocs et à s’y adapter.
Les meilleurs systèmes de cloud souverains déploient les niveaux de sécurité des données les plus sophistiqués qui soient, garantissant que les applications, les employés, les clients et les consommateurs peuvent toujours accéder rapidement et en toute sécurité aux données dont ils ont besoin.
Pour être efficace dans le cadre de l’entreprise, la souveraineté du cloud doit générer trois types de résultats critiques : la souveraineté des données, la souveraineté opérationnelle et la souveraineté numérique. Examinons de plus près chacun de ces concepts et pourquoi ils sont importants.
Souveraineté des données
Le respect de la souveraineté des données (l’idée selon laquelle les données sont soumises aux lois du pays ou de la région où elles ont été générées) est une exigence fondamentale de la plupart des solutions de cloud souverain. Une parfaite souveraineté des données aide les entreprises à protéger les données de leurs clients contre les cyberattaques et autres menaces tout en garantissant qu’aucune personne non autorisée n’y a accès. Par exemple, selon la plupart des exigences de souveraineté des données, les CSP n’ont pas accès aux données des clients, même lorsqu’elles se trouvent dans un centre de données cloud qu’ils exploitent.
Un autre aspect important de la souveraineté des données est le concept de résidence des données, la notion selon laquelle les données sont soumises aux lois et aux réglementations de la région ou du pays où elles sont stockées. Outre le respect de la confidentialité des données, les solutions de cloud souverain doivent également respecter toutes les lois et réglementations applicables en matière de résidence des données.
Souveraineté opérationnelle
La souveraineté opérationnelle permet de garantir que l’infrastructure critique associée aux applications riches en données est permanente et accessible. De plus, la souveraineté opérationnelle aide les entreprises à garder le contrôle de leurs processus opérationnels et à repérer les inefficacités. Grâce à une approche solide de la souveraineté opérationnelle, même si une région particulière est affectée par une catastrophe, une entreprise peut garantir la résilience de son infrastructure critique grâce à un plan de continuité des activités et de reprise après sinistre (BCDR) ou à une Reprise après sinistre en tant que service (DRaaS) . . Enfin, la souveraineté opérationnelle aide les entreprises à se conformer aux réglementations locales régissant l’infrastructure nécessaire pour prendre en charge les environnements cloud dans une région particulière.
Souveraineté numérique
Tout comme la souveraineté opérationnelle et la souveraineté des données, la souveraineté numérique dans la région est un concept pour lequel il n’existe pas de définition universelle unique. D’une manière générale, c’est un terme générique qui décrit le niveau de contrôle d’une organisation sur ses actifs numériques, y compris les données, les logiciels, le contenu et l’infrastructure numérique. La souveraineté numérique est importante pour le concept de cloud souverain, principalement dans le contexte de la gouvernance et de la transparence : les entreprises qui utilisent le contrôle d’accès à leurs actifs numériques doivent définir des règles concernant les personnes autorisées. Ces règles doivent être mises en place de manière à être facilement applicables, comme la politique en tant que code, un processus qui permet aux organisations de gérer leur infrastructure et leurs procédures de manière reproductible.
La transparence, autre aspect important de la souveraineté numérique, fait référence à la capacité d’une organisation à contrôler ses processus et ses résultats. La transparence permet aux organisations de voir leurs workflows opérationnels les plus importants afin de connaître les points positifs et ceux qui doivent être améliorés.
Les avantages d’une approche basée sur les risques
En matière de cloud souverain, il n’existe pas de solution unique. Les entreprises peuvent souhaiter le même résultat avec leur approche du cloud hybride, par exemple la transformation numérique, mais la manière dont elles s’y prennent variera en fonction de la taille, de l’emplacement, du secteur d’activité et des exigences commerciales. C’est là que les avantages d’une approche basée sur les risques apparaissent.
Une approche solide et basée sur les risques du cloud souverain permet d’équilibrer la croissance, par exemple, le potentiel d’une nouvelle technologie passionnante comme l’IA générative, et les risques, tels que l’atteinte à la réputation due à une violation de données. Pour les applications critiques et les données très sensibles, les entreprises peuvent vouloir exercer un niveau de contrôle plus élevé que pour d’autres applications moins critiques. La réglementation de précision, associée à une approche fondée sur des normes en matière de règles et de normes de gouvernance, permet de s’assurer que les règles mises en place peuvent également être gérées par la technologie.
Choisir entre une architecture cloud publique et une architecture distribuée
Selon les exigences en matière de risque et de croissance des organisations, le type de données qu’elles stockent et leur emplacement, il existe deux options pour déployer et appliquer des politiques de cloud souverain : le cloud public ou le cloud distribué. Dans la plupart des pays, les déploiements de cloud public et multicloud aident les organisations à déployer leurs charges de travail cloud tout en gardant le contrôle sur leurs données dans une région spécifique. Une architecture de cloud public typique comprend une couche cloud, telle qu’une plateforme cloud hybride, qui fournit un déploiement cloud stable et cohérent.
La seconde option est le modèle de déploiement cloud distribué, comme un fournisseur d’infrastructure local ou un centre de données sur site. Ces derniers sont particulièrement intéressants pour les entreprises qui ont besoin de plus de contrôle sur leur infrastructure et leurs opérations. Fondamentalement, un modèle de déploiement cloud distribué vous permet de déployer des charges de travail et des plateformes dans l’infrastructure de votre choix.
Au moment où les gouvernements et les citoyens du monde entier se focalisent sur les données, les préoccupations opérationnelles et la souveraineté numérique, le cloud souverain aide les entreprises à garantir l’intégrité de leurs données, quel que soit l’endroit où elles opèrent.
Dans les années à venir, la manière dont les entreprises collecteront, sécuriseront, stockeront et contrôleront l’accès à leurs données, en particulier si elles cherchent à exploiter de nouvelles technologies enrichies en données comme l’IA et le ML, aura d’énormes répercussions sur leur réussite. Lorsqu’elles choisissent un CSP pour les aider à créer leur environnement cloud souverain, il est primordial que les entreprises comprennent comment celui-ci va stocker et traiter leurs données sensibles.
En outre, elles doivent savoir comment un CSP soutient la résilience et prévoit d’atténuer les pannes dues aux cyberattaques, aux catastrophes naturelles et à d’autres menaces. Enfin, les entreprises qui cherchent à tirer parti d’un cadre de cloud souverain doivent s’assurer que la stratégie cloud globale de leur CSP est conforme aux lois des pays ou des régions dans lesquels elles opèrent, faute de quoi elles risquent de se voir infliger des amendes ou des sanctions préjudiciables.
Voici quelques considérations importantes à prendre en compte lors du choix d’un CSP pour une architecture de cloud souverain :
Gouvernance des données : l’approche d’un CSP en matière de gouvernance des données est cruciale. Cela montre qu’il a mis en place les bonnes politiques et procédures pour gérer vos données et appliquer les restrictions nécessaires. Il doit également être en mesure de fournir des audits réguliers prouvant que les directives qu’il a mises en place sont suivies.
Accords de niveau de service (SLA) : un accord de niveau de service (SLA) avec un CSP concernant un environnement de cloud souverain n’est pas très différent d’un accord concernant un environnement de cloud public ou privé. Comme pour les clouds publics et privés, les trois domaines les plus importants à examiner sont le contrôle (gestion du cloud), la disponibilité et les performances.
Conformité : les CSP qui déploient des cadres d’exigences de cloud souverain doivent posséder un niveau d’expertise élevé en matière de lois sur les données dans les régions où ils opèrent, ainsi qu’une compréhension approfondie de l’environnement de souveraineté et de conformité des données, qui est en constante évolution. Les fournisseurs et les clients partagent la responsabilité de se tenir informés des nouvelles réglementations et de développer des stratégies pour s’y conformer.
Chiffrement des données : en matière de souveraineté et de confidentialité des données, il est important de garantir la confidentialité des données. Les CSP doivent fournir aux organisations des mécanismes leur permettant de chiffrer leurs données et de les gérer à l’aide de clés cryptographiques. Il s’agit essentiellement de modifier les données en un contenu de chiffrement qui ne peut être déchiffré que par une personne disposant des autorisations et de la clé appropriées. En garantissant un accès exclusif à ces clés de chiffrement, les entreprises ont l’assurance technique et le contrôle complets sur qui peut accéder à leurs données à un moment donné.
Résilience : enfin, lorsque quelque chose ne va pas, vous devez mettre en place un plan pour revenir rapidement à une situation normale. Intéressez-vous uniquement des fournisseurs de services cloud qui ont fait leurs preuves en aidant des clients à produire des efforts de résilience et de reprise dans les pays ou les régions concernés. Tous les déploiements de cloud souverain doivent disposer de capacités intégrées de récupération et de basculement, adaptées à chaque domaine de conformité spécifique où les données sont stockées.
Solutions connexes
IBM Cloud Hyper Protect Crypto Services est une solution de gestion et de chiffrement des clés en tant que service (aaS), qui vous donne un contrôle total sur vos clés de chiffrement pour la protection des données.
IBM Cloud Object Storage est un service de données géré hautement évolutif et résilient sur IBM Cloud, offrant une alternative au stockage par blocs et de fichiers.
Déployez et exécutez des applications de manière cohérente dans des environnements sur site, d’edge computing et de cloud public, grâce à des communications sécurisées et prêtes pour les audits avec IBM Cloud.
Ressources
En savoir plus sur le cloud hybride, un cadre cloud qui combine et unifie le cloud public, le cloud privé et l’infrastructure sur site pour créer une infrastructure informatique unique, flexible et optimale en termes de coûts.
Découvrez comment les progrès rapides du cloud computing, de la gestion des données et de l’intelligence artificielle (IA) rendent le cloud hybride essentiel à l’infrastructure informatique de nouvelle génération.
Découvrez comment l’architecture cloud hybride, un environnement combinant des environnements sur site, de cloud privé, de cloud public et de périphérie, peut aider les entreprises à créer une infrastructure informatique gérée unique et flexible.
Découvrez la sécurité des données, qui consiste à protéger les informations numériques contre tout accès non autorisé, corruption ou vol tout au long de leur cycle de vie.
En savoir plus sur les centres de données, pièces physiques, bâtiments ou installations qui abritent l’infrastructure informatique nécessaire à la création, à l’exécution et à la fourniture d’applications et de services.
Apprenez-en davantage sur la confidentialité des données, également appelée « confidentialité des informations », le principe selon lequel une personne doit avoir le contrôle de ses données personnelles, y compris la capacité de décider comment les organisations collectent, stockent et utilisent ses données.