Transfert de données selon e-evidence vs informatique confidentielle : des groupes professionnels entiers sont-ils exclus de l'usage du cloud ?
Avec les preuves électroniques, un nouvel ensemble de règles internationales se prépare à mettre les données à la disposition des autorités au-delà des frontières nationales. Par exemple, si l'autorité judiciaire grecque demande les données d'utilisateur d'un client allemand, il devrait être possible à l'avenir d'obliger le fournisseur de cloud allemand à divulguer ces données. Cela affecte toutes les informations dont dispose le fournisseur de services cloud sur ses clients : du contenu stocké jusqu'aux métadonnées concernant l'heure de transmission des données, l'adresse IP de l'expéditeur et du destinataire des paquets de données.
Ce projet peut être utile pour des poursuites pénales internationales efficaces, mais l'exigence soulève des questions fondamentales sur la sécurité des données des services cloud.
Les fournisseurs de cloud peuvent accéder aux données des clients
Techniquement, l'accès aux données des utilisateurs - données de contenu et métadonnées - est en principe possible pour le fournisseur ! De nombreux fournisseurs de services cloud peuvent accéder aux données de leurs clients stockées dans le cloud. Cela signifie que cet accès peut également avoir lieu sans ordre officiel. C'est une idée désagréable, surtout lorsque les entreprises manipulent des données sensibles. Si l'opérateur cloud peut accéder à tout moment aux données de ses clients, qui peut faire tout cela ?
Pour certains groupes professionnels (détenteurs de secrets professionnels selon l'article 203 du code pénal, tels que les avocats et les médecins), la possibilité d'acquérir des connaissances représente même une révélation de secrets au sens du code pénal qui exclut l'utilisation de services cloud de dès le départ et les expose aux désavantages économiques qui en résultent », explique Ulrich Ganz, directeur de l'ingénierie logicielle chez uniscon, filiale munichoise de TÜV SÜD.
Informatique confidentielle : technologie vs arrangement
Les entreprises qui souhaitent empêcher de manière fiable l'accès de tiers - y compris le fournisseur de services - s'appuient déjà sur des services qui mettent en œuvre le principe de l'informatique confidentielle. Les données sensibles sont non seulement cryptées pendant le stockage et la transmission, mais restent également protégées pendant le traitement. Outre une amélioration générale de la sécurité des données, l'objectif de l'informatique confidentielle est également de rendre les avantages du cloud computing accessibles aux industries qui traitent des données sensibles.
Avec le cloud d'entreprise hautement sécurisé idgard® d'uniscon, l'approche informatique confidentielle est mise en œuvre à l'aide de la technologie cloud scellée. Un cryptage approfondi des données et un ensemble de mesures techniques de verrouillage dans des cages de serveurs spécialement blindées empêchent de manière fiable tout accès non autorisé. Seul le client est en possession de la clé associée.
Le cryptage des données empêche l'accès
Une demande d'accès à ces données par des tiers est donc inutile, puisque l'opérateur n'y a pas non plus accès. Cette technologie permet ainsi à des groupes professionnels d'utiliser des services cloud qui seraient autrement exclus, comme les médecins et les cliniques, mais aussi les conseillers fiscaux, les auditeurs et bien d'autres.
Il est important que les mesures législatives ne fassent pas plus de mal que de bien. Une livraison transfrontalière de données doit donc être considérée avec beaucoup de scepticisme et ne doit en aucun cas être adoptée à la hâte.
En savoir plus sur uniscon.com
À propos d'Uniscon - Une entreprise du groupe TÜV SÜD
uniscon GmbH est un fournisseur munichois de solutions cloud et de salles de données conformes au RGPD pour les entreprises et l'un des principaux fournisseurs de cloud sécurisé en Europe. Les produits d'Uniscon vont de pair : la Sealed Platform® d'Uniscon offre un environnement d'exécution sécurisé pour les applications Web avec des exigences de sécurité élevées ou des exigences élevées en matière de protection des données.