“Il est conseillé de protéger les données les plus sensibles en les confiant à une entreprise répondant au droit européen et dont les infrastructures se trouvent en Europe”
Outre la gestion des identités à travers le zero trust, l’un des défis des entreprises présentes sur le net (c’est-à-dire toutes ou presque) est de gérer leurs données sensibles. À ce petit jeu, certaines ont des besoins bien particuliers. La plupart des entreprises feront confiance à des solutions grand public de stockage dans le cloud, comme celles proposées par Google. Oui mais voilà, ce sont en général des sociétés américaines. Et qui dit sociétés américaines, dit Patriot Act et Cloud Act. Qu’est-ce qui se cache derrière ces anglicismes, et en quoi est-ce un problème ? Ces deux lois venues d’outre-Atlantique appliquent l’extraterritorialité américaine à Internet. Par exemple, le fisc américain peut, au nom de l’extraterritorialité, imposer un citoyen américain où qu’il se trouve dans le monde. La justice américaine peut interdire à des entreprises de toutes les nationalités de faire des affaires à Cuba ou en Iran… ou en tout cas les condamner à fortes amendes. “Avec le Patriot Act et le Cloud Act, la justice américaine ou les services secrets peuvent demander d’avoir accès aux données de n’importe quelle entreprise qui utilise les services de sociétés américaines pour les stocker, prévient Cédric Mermilliod, cofondateur de Oodrive. Il est donc conseillé de protéger les données les plus sensibles en les confiant à une entreprise répondant au droit européen et dont les infrastructures se trouvent en Europe.” Dans la pratique, les grands comptes vont confier 95 % de leurs données à des entreprises comme Google, et les 5 % les plus confidentielles à une société comme Oodrive, qui n’est pas tenue de les divulguer aux autorités US. “Les données sont cryptées avec des Hardware Security Module (HSM), puis nous distribuons trois clés aux clients et nous gardons deux clés à Oodrive, explique Cédric Mermilliod. Pour déchiffrer les données, nous avons besoin des cinq clés, ce qui assure une protection maximale.” A noter que les infrastructures d’Oodrive sont auditées chaque année par l’autorité nationale de sécurité des systèmes d’information (ANSSI).