Pourquoi la souveraineté des données est désormais un obstacle à la cybersécurité

En matière de cybersécurité, l'accent est traditionnellement mis sur la confidentialité, c'est-à-dire sur la protection des données contre les regards indiscrets. Mais la véritable cyber resilience repose sur la triade CIA : confidentialité, intégrité et disponibilité, un modèle fondamental en matière de cybersécurité. Il ne s'agit pas seulement de préserver la confidentialité des données, mais de s'assurer qu'elles sont exactes, dignes de confiance et accessibles en cas de besoin. Aujourd'hui, sous la pression croissante des cadres réglementaires et des tensions géopolitiques, une autre "lettre" gagne en importance : L comme localisation. L'endroit où se trouvent vos données et qui en a la compétence est devenu un facteur déterminant dans la manière dont les organisations sécurisent, gèrent et contrôlent leurs actifs les plus sensibles. 

Alors que les entreprises européennes évaluent leurs relations avec les fournisseurs, la souveraineté des données est devenue un facteur décisif au niveau du conseil d'administration, avec de réelles conséquences réglementaires, géopolitiques et en termes de réputation. Une nouvelleétude de Foundry, menée en partenariat avec CIO, CSO et COMPUTERWOCHE, révèle un changement radical des priorités des entreprises allemandes. Le message est clair : le contrôle, la conformité et la souveraineté sont devenus des éléments clés dans la prise de décision en matière de cybersécurité.

Ce n'est pas seulement une question de compétences, c'est aussi une question de contrôle 

Pendant des années, les responsables de la sécurité ont donné la priorité aux compétences techniques lors de l'évaluation des fournisseurs. Mais le vent tourne. Dans cette nouvelle étude, 114 décideurs informatiques et commerciaux de moyennes et grandes entreprises allemandes ont été invités à classer leurs critères les plus importants en matière de souveraineté numérique. La première réponse était claire : le contrôle de l'infrastructure des données - en d'autres termes, la résidence des données - a été cité par 67% de toutes les entreprises, et par 72% des grandes entreprises. Ce facteur a devancé d'autres facteurs tels que l'indépendance technique (58%), la conformité et la protection des données (56%), la continuité des activités (35%), l'expertise interne en matière de cybersécurité (33%) et la qualité des partenariats (17%). 

Lorsqu'il s'agit de choisir des fournisseurs de sécurité informatique, l'étude révèle que les attributs les plus appréciés sont l'expertise technologique (68%) et la sécurité des données/la conformité (64%), alors que seulement 10% des personnes interrogées considèrent les certifications comme un facteur primordial. L'emplacement physique du fournisseur ou du centre de données était important pour une minorité (29% et 19%, respectivement). 

Ce qu'il faut en retenir ? Si la confiance repose toujours sur l'expertise et la conformité, le contrôle de l'infrastructure de données figure désormais en tête des priorités d'achat, bien avant les certifications ou même l'expertise interne. Aujourd'hui, c'est la transparence, la conformité et surtout le contrôle des données qui permettent de gagner la confiance. 

La protection de la vie privée et la conformité redéfinissent l'expertise 

 Cela ne veut pas dire que les connaissances techniques n'ont pas d'importance - elles en ont absolument. En outre, 68% des personnes interrogées dans le cadre de l'enquête Foundry considèrent toujours qu'il s'agit d'un facteur clé dans le choix d'un partenaire en matière de sécurité. Mais de plus en plus, cette expertise doit être enveloppée d'une couche de valeurs européennes, en particulier le respect de la vie privée et de la propriété.  

Il est surprenant de constater que seulement 19% ont cité l'emplacement des centres de données comme une priorité absolue. Et seulement 29% ont cité l'alignement juridictionnel, ce qui met en évidence une lacune potentielle dans la compréhension des implications juridiques du stockage transfrontalier des données. 

 Voici pourquoi cela est important : même si vos données sont hébergées en Europe, le fait de travailler avec un fournisseur basé aux États-Unis peut vous exposer à des lois sur la surveillance à l'étranger, comme le CLOUD Act américain. C'est une nuance à laquelle de plus en plus d'entreprises commencent à s'intéresser et qui devrait figurer sur le radar de tous les responsables de la sécurité. 

La géopolitique façonne désormais la cyberstratégie 

La statistique la plus révélatrice de l'étude est que 87% des personnes interrogées ont déclaré que la géopolitique et la souveraineté des données influencent désormais leur choix de fournisseurs de sécurité. Pour les grandes entreprises, ce chiffre s'élève à 93%. Ce changement n'est pas seulement académique. Elle reflète une prise de conscience croissante du fait que le pays d'origine d'un fournisseur - et les obligations légales qui en découlent - peut avoir un impact sur tout, de l'accès aux données aux protocoles d'intervention en cas d'incident. Pour les organisations soumises à des mandats stricts en matière de protection des données, cela signifie qu'il faut s'aligner sur des fournisseurs qui ne se contentent pas de parler de conformité, mais qui la mettent en pratique grâce à une infrastructure régionale, à une clarté juridique et à une bonne compréhension des priorités réglementaires européennes.  

Il ne suffit plus de savoir où se trouvent vos données. Ce qui compte, c'est le lieu d'appartenance du prestataire et les tribunaux auxquels il est soumis. Si le siège social de votre fournisseur change, votre profil de risque change également.  

Vue d'ensemble : L'importance de cette recherche 

Auparavant, la sécurité consistait à empêcher les méchants d'entrer. Aujourd'hui, il s'agit tout autant de savoir qui détient les clés de vos données et quelles lois s'appliquent lorsque ces clés sont tournées. Cette recherche reflète une évolution plus large dans toute l'Europe : 

• Un appel à une plus grande transparence 

• Une demande de conformité par conception 

• Une préférence pour des solutions gouvernées au niveau régional 

Et chez Mimecast, nous sommes là pour ça. Avec un siège social au Royaume-Uni, une approche de l'hébergement de données centrée sur le client et une empreinte mondiale qui comprend une infrastructure basée en Europe, nous donnons à nos clients le choix et le contrôle. Que vous opériez au Royaume-Uni, dans l'Union européenne ou ailleurs, nous veillons à ce que vos données restent là où elles doivent être pour répondre à vos exigences en matière de souveraineté, de sécurité et de conformité. 

Construisons une Europe plus résiliente (et plus souveraine) 

Alors que le paysage des menaces devient de plus en plus complexe et que la souveraineté numérique devient un élément central de la confiance, les organisations européennes sont invitées à repenser les fondements de la cybersécurité. Cette étude constitue à la fois un avertissement et un moyen d'aller de l'avant ; il est temps de donner la priorité non seulement à la protection, mais aussi à la possession.  

Il est temps de penser non seulement à la protection, mais aussi à la possession. Chez Mimecast, nous aidons les entreprises européennes à reprendre le contrôle : de leurs données, de leurs risques et de leur conformité.  

Pour découvrir l'ensemble des résultats et la manière dont Mimecast aide les entreprises à mettre en place des stratégies de sécurité ancrées localement et résilientes à l'échelle mondiale, lisez le rapport complet.