Sécurité rime avec confidentialité dès lors qu’il y a des données à protéger : on parlera alors aussi de data protection. En 2022 (ou presque), l’importance de la donnée et de ses usages, notamment à travers les processus dits data-driven, est souvent reconnue par les entreprises comme un potentiel clé de leur développement. De la même manière, les données personnelles (ou PII outre-Atlantique) peuvent également représenter un enjeu…vital à bien des niveaux !

C’est pourquoi, dans cette édition #4 de la revue Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la data protection sur le Cloud.

Et reprendre, c’est…

Dans un contexte de souveraineté numérique, de cloud de confiance ou encore de Gaia-x, je vous propose une review de l’Usine Digitale, qui discute du “feuilleton cloud souverain”. Voici quelques mots tirés au hasard de cet article pour vous mettre en appétit : cacophonie, Doctolib, Privacy Shield, Cloudwatt, SecNumCloud.

Sur ce dernier point, Nigel Cory dans cet article au style plutôt direct, vient pointer du doigt le protectionnisme Français (voire EU), provoqué par la dernière mise à jour de ce label. En bon français, je ne me sens évidemment pas concerné quand il parle de “Administrative Overload”…

Pendant ce temps-là, j’tournais la manivelle, cet automne, les acteurs majeurs du Cloud se sont regroupés autour des Trusted Cloud Principles pour s’engager à respecter la protection des droits de leurs clients. On aura l’occasion d’en rediscuter plus en détails dans un futur article.

Si vous avez survécu à tous les acronymes des précédents articles, côté confidentialité  AWS a publié cet été un article de blog à propos du système Nitro, pour bien expliquer qu’il est impossible de dumper la mémoire vive ou de se logguer dans le serveur-hôte d’EC2 basée sur Nitro, et que l’on peut aller jusqu’à se protéger de ses propres softwares et opérateurs côté client avec Nitro Enclaves.

Ce genre de sujet nous parle : au cas-où, nous avons même une offre (#selfpromotion) sur le chiffrement des instances EC2 pour vous assurer que vous gardez un contrôle absolu sur vos données.

Contrôle, ça fait penser à AWS Control Tower. Si vous avez raté la revue de presse Cloud de Baptiste Thonnard publiée hier, vous pouvez cliquer ici pour vous rattraper et consulter son 10ème article de revue qui récapitule notamment le 10ème re:Invent (je salue la synchronisation de l’auteur et son engagement).

Vous y retrouverez une des annonces data residency d’AWS. Désormais, lorsque vous utilisez AWS Control Tower, vous pouvez faire de la prévention et de la détection quant à l’usage des régions que vous autorisez dans le cloud AWS de votre SI grâce à des guardrails (SCPs, AWS Config).

Enfin, rappelez-vous Facebook a fait l’amère expérience d’avoir sa propre sécurité qui a empêché ses équipes de rentrer dans ses datacenters et d’avoir accès à ses propres serveurs, conduisant à sa disparition du web, à laquelle on avait pu assister. Peut-être que je peux vous encourager à rester vigilant quand les processus mis en place pour protéger vos données viennent empêcher leur accès légitime.

Et en parlant de Facebook et de confidentialité, avec un peu de recul sur cette affaire : où s’arrête la limite entre confidentialité et lanceur d’alerte selon vous ?

Créativité et sérénité : un haïku pour se motiver

Contributions et remerciements : Christine Grassi, David Dupin, Julien Lemarchal