Des données dignes d’un souverain : comment intégrer la souveraineté à votre stratégie de résilience numérique

La souveraineté numérique était un terme auparavant réservé aux organisations exposées aux plus grandes menaces : les agences publiques axées sur la défense ou la sécurité nationale. Mais de plus en plus, nos clients européens dans les secteurs d’infrastructures critiques nous demandent une plus grande marge de manœuvre dans la manière dont ils déploient la technologie, davantage de contrôle sur l’accès à leurs systèmes et à leurs données, ainsi qu’une meilleure autonomie dans la gestion de leur infrastructure numérique à l’ère de l’IA. Par conséquent, la souveraineté numérique, qui était autrefois un sujet de niche, suscite désormais un intérêt croissant chez certaines organisations européennes, en particulier pour renforcer la résilience cyber ou numérique.

Si les facteurs influençant l’intérêt d’une organisation pour la souveraineté numérique ont évolué, il en va de même pour les critères permettant de définir la meilleure approche. À ce titre, il est vital de trouver un équilibre stratégique pour veiller à ce que les décisions soient motivées par vos propres besoins, plutôt que par une tendance. Cela soulève une question plus nuancée : quel est le niveau de choix, d’autonomie et de contrôle sur vos données et votre organisation adapté à votre organisation ?

L’équilibre déterminé par nos clients dépend de plusieurs facteurs. Par exemple :

• Haute disponibilité et sensibilité des données : en fonction du contexte et des risques auxquels vous faites face, vous pouvez privilégier la haute disponibilité de vos données plutôt que des solutions souveraines. Peut-être que les temps d’arrêt potentiels représentent un risque plus élevé que le manque de souveraineté pour certains services. À l’inverse, les données les plus sensibles de votre organisation peuvent être soumises à des exigences de souveraineté, dictées par le profil de menace de l’organisation. À titre d’exemple, les processus moins sensibles (tels que les investigations d’incidents IT) pourraient ne pas justifier l’investissement dans des technologies souveraines, contrairement à la gestion des cyber-incidents. 

• Géolocalisation et fragilité : la localisation des fournisseurs et des services peut être une priorité en raison d’impératifs opérationnels, mais le fait de faire appel à des fournisseurs locaux moins résilients peut fragiliser votre chaîne logistique et représenter un risque plus important. Nous avons vu certaines organisations adapter leurs processus après des incidents, en veillant par exemple à ce que le personnel chargé de la gestion des incidents réside dans le pays concerné plutôt qu’à l’étranger, afin de faciliter les questions de sensibilité des données, mais cela peut s’accompagner de défis liés au recrutement. 
  

La souveraineté numérique tient compte de l’ensemble de l’environnement numérique, notamment des infrastructures, des logiciels et des données. Mais si la résilience numérique est un problème de données, il est également essentiel de comprendre toutes les nuances de la souveraineté des données. Cependant, la souveraineté des données nécessite une approche mûrement réfléchie, car il ne s’agit pas d’un concept universel. Le modèle de menace et les besoins de résilience uniques d’une organisation déterminent ses exigences particulières, et les points de friction doivent être mis en balance avec les objectifs métiers fondamentaux tels que la rapidité et l’agilité. Si le choix et le contrôle sont des avantages attrayants, une véritable souveraineté va bien au-delà de la résidence des données : elle impose d’examiner de plus près l’ensemble de votre chaîne logistique de données, les juridictions régissant vos fournisseurs et les personnes ayant accès à vos données. Chacune de ces couches peut être source de friction dans le cadre de vos opérations et nuire à l’agilité de votre organisation. Alors avant de réfléchir à comment implémenter cette souveraineté, il est d’abord crucial de déterminer pourquoi la mettre en place. Pour commencer, posez-vous trois questions essentielles :

1. La réglementation l’exige-t-elle ?
2. Le risque est-il avéré et suffisant ?
3. Des facteurs métiers pertinents entrent-ils en jeu ?

Si la réponse à l’une de ces questions est oui, vous devez faire un état des lieux de votre posture et des options s’offrant à vous en matière de souveraineté numérique. Demandez à vos équipes :

• Quels sont les scénarios d’utilisation opérationnels que nous devons vraiment rendre souverains ? (IT, sécurité, ingénierie, opérations, développement, etc.) 
  • Tout dépend de votre profil de menace et de votre acceptation des risques métiers. Les réponses vous aideront à déterminer quels scénarios d’utilisation nécessitent des solutions souveraines et à connaître les exigences (résidence, disponibilité) relatives aux données prenant en charge ces scénarios. 

• Quelle est notre stratégie pour transférer les données ? Combien de temps faudrait-il pour transférer ou accéder à ces données, et disposons-nous des ressources nécessaires pour le faire ?
  
  • Il est impératif de le savoir à des fins de récupération. Si le transfert des données prend trop de temps, cela peut avoir de nombreuses répercussions sur l’entreprise, allant de temps d’arrêt à une exposition à différents risques pendant l’investigation de l’incident. La duplication ou le transfert de données entre différents dépôts peut également s’avérer coûteux. Avoir connaissance du temps nécessaire pour transférer ou accéder aux données permet de mettre en place une architecture de données rentable et adaptée à l’usage prévu, et de mettre en évidence les possibilités de fédération.

• Notre classification des données est-elle suffisamment efficace ?  
  • Il est essentiel de connaître les données à votre disposition. La classification doit vous permettre de hiérarchiser les scénarios d’utilisation et les dépôts de données, et de stratifier les données devant être transférées vers des solutions souveraines. La classification et la qualité ont toujours joué un rôle majeur dans la gestion des données, et la souveraineté ne fait que souligner l’importance de cette hygiène.

• L’organisation a-t-elle pris en considération la souveraineté numérique à un niveau stratégique ? Pourrions-nous nous adapter si nécessaire, et qui serait responsable de ces changements ?
  
  • Une bonne préparation est essentielle et vous ne pouvez pas vous permettre de revoir votre stratégie en pleine crise. Prenez bien connaissance du point de vue de l’organisation sur ce sujet et, si un changement s’avère nécessaire, si celui-ci est envisageable et à quelle vitesse vous pourriez le mettre en œuvre.

Comment Splunk et Cisco peuvent vous aider

Parmi les différentes définitions de la souveraineté des données, l’emplacement de vos données (résidence des données) est rarement considéré comme suffisant pour atteindre une souveraineté totale, mais il est généralement considéré comme un élément essentiel. Et quelle que soit votre politique en vigueur, vous devez la superviser afin de détecter toute infraction de conformité. Pour aider les organisations à relever ces défis, notre approche repose sur trois piliers fondamentaux :

1. Choisissez votre déploiement

En réponse à de nombreuses demandes, Cisco a récemment annoncé le lancement du portefeuille de solutions Sovereign Critical Infrastructure, destiné à ses clients européens. Il s’agit d’une infrastructure véritablement configurable que les clients peuvent exploiter dans leurs propres environnements physiques on-premise et air-gapped. Elle peut également être déployée dans le cadre d’un environnement hybride, offrant ainsi aux clients la flexibilité dont ils ont besoin. Avec Splunk, vous pouvez choisir un déploiement on-premise ou notre plateforme SaaS dans plusieurs régions de la zone EMEA. Les régions actuellement prises en charge par Splunk Cloud Platform dans la zone EMEA sont les suivantes : Londres, Dublin, Francfort, Milan, Paris, Stockholm, Belgique et Émirats arabes unis. Nous continuerons d’ajouter des régions en fonction des demandes des clients. Vous pouvez également utiliser le contrôle des accès basé sur les rôles (RBAC) pour contrôler qui peut voir vos données. Dans Splunk, le RBAC permet un contrôle précis des accès au niveau des applications, des tableaux de bord, des index, des commandes de recherche, des champs et des événements, ce qui permet aux organisations d’adapter l’accès des utilisateurs de manière évolutive.  Cette approche robuste du RBAC contribue à renforcer la sécurité, l’efficacité opérationnelle et la conformité en attribuant des autorisations en fonction des responsabilités de chaque poste et non des utilisateurs individuels.  

2. Leader en matière de fédération

Depuis 2021, Splunk développe continuellement ses fonctionnalités de recherche fédérée. Elles permettent actuellement aux organisations d’interroger et d’analyser les données issues d’autres instances de Splunk, de buckets AWS S3 ou d’Amazon Security Lake, sans avoir à les transférer ou les dupliquer. Cette architecture fédérée est idéale pour répondre aux priorités en matière de résidence des données ! Cela signifie que vous pouvez choisir la région adaptée pour stocker vos données tout en continuant à obtenir les informations dont vous avez besoin, même sur plusieurs sites et types de stockage. Concrètement, en matière de sécurité, cela peut se traduire par le stockage dans le cloud de vos données de conformité rarement consultées dans le cloud, où elles sont moins coûteuses, mais en conservant vos données opérationnelles pour investiguer les incidents dans une instance Splunk on-prem ou dans une région spécifique prise en charge par Splunk Cloud Platform pour des raisons de souveraineté. Toutes ces données sont consultables à partir d’une interface utilisateur unique. Aux lacs de données, il faut désormais ajouter les mares et les flaques de données. Les données étant stockées à plusieurs endroits, la connectivité est impérative : vous devez être en mesure d’apporter l’analyse à vos données, plutôt que d’apporter vos données à l’analyse.

3. La visibilité comme base

Vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir ou superviser. Asset and Risk Intelligence et d’autres fonctionnalités de supervision de la conformité de Splunk vous aident à visualiser les actifs dont vous disposez, à collecter les données opérationnelles et de sécurité pertinentes pour analyser et signaler les changements, et à identifier les lacunes ou les failles. Le simple fait de connaître votre patrimoine de données est une première étape cruciale, avec une supervision continue pour éviter tout écart de conformité. La disponibilité et des fonctionnalités de recherche performantes sont également essentielles pour obtenir les données dont vous avez besoin, quand vous en avez besoin, ce que Splunk offre à ses utilisateurs depuis longtemps.

Conclusion 

Votre parcours de résilience numérique commence par une bonne visibilité sur vos données ; c’est un problème de données qui exige une approche moderne de la gestion des données. Pour certaines organisations, ce parcours impliquera une étude minutieuse de la souveraineté numérique, ce qui nécessite de comprendre les données dont vous disposez, leurs déplacements et leur rôle dans vos opérations. En fin de compte, l’objectif est de faire un choix réfléchi quant au niveau de contrôle et d’autonomie adapté à votre entreprise et pouvant contribuer à renforcer votre résilience, une composante désormais primordiale de la stratégie de toute organisation.

Pour en savoir plus, découvrez notre session consacrée à la souveraineté et à la résilience numérique de la Semaine de la résilience numérique EMEA.