Points clés
- L'hébergement des données dans le cloud réduit la visibilité directe de l'organisation sur leur localisation, leurs accès et leurs flux
- Les données dans le cloud peuvent être répliquées dans des régions géographiques sans que le client en soit explicitement informé
- Le RGPD et les réglementations sectorielles imposent une maîtrise de la localisation et des accès aux données — indépendamment de l'infrastructure
- Les outils DSPM (Data Security Posture Management) permettent de cartographier et de surveiller les données dans les environnements cloud complexes
Lorsqu'une organisation stocke ses données dans le cloud, elle perd une partie de la visibilité directe qu'elle avait sur leur localisation et leur traitement. On-premise, les données résidaient sur des serveurs physiques identifiés, dans des datacenters dont l'organisation maîtrisait l'accès. Dans le cloud, les données peuvent être répliquées automatiquement dans plusieurs datacenters pour assurer la résilience, indexées par des services d'analyse intégrés, et accessibles via des interfaces multiples — souvent sans que l'organisation ait une vision complète de ces flux.
Cette perte de visibilité n'est pas inévitable — elle résulte d'une utilisation du cloud sans les outils et les processus nécessaires pour maintenir la maîtrise sur les données hébergées. La cloud data governance — gouvernance des données dans le cloud — est une discipline émergente qui répond précisément à ce défi.
Les dimensions de la perte de visibilité
La perte de visibilité sur les données cloud présente plusieurs dimensions : la dimension géographique (dans quelles régions ou pays les données sont-elles effectivement stockées et répliquées ?), la dimension des accès (qui accède aux données, depuis où, avec quels droits — y compris les équipes du fournisseur cloud ?), la dimension des copies (combien de copies des données existent, incluant les sauvegardes, les caches, les snapshots, les copies de test ?), et la dimension des flux (quels services cloud accèdent à ces données et les traitent ?).
Pour les données personnelles soumises au RGPD, la réglementation exige que le responsable de traitement soit en mesure de répondre précisément à ces questions : localisation, accès, transferts hors UE. L'incapacité à répondre n'exonère pas de la responsabilité — elle constitue en elle-même une non-conformité.
Les risques de la localisation des données
La localisation des données dans le cloud est un enjeu réglementaire et stratégique. De nombreuses réglementations imposent que certaines catégories de données restent dans des juridictions spécifiques : le RGPD encadre les transferts de données personnelles hors de l'Espace Économique Européen, la loi française sur la protection des données de santé impose l'hébergement en France certifiée HDS, la réglementation financière de nombreux pays impose la résidence des données financières sur le territoire national.
Les grands fournisseurs cloud proposent des options de résidence des données (AWS GovCloud, Azure Sovereign Regions, Google Cloud Regions) qui permettent de garantir que les données restent dans des zones géographiques définies. Ces options ont un coût et nécessitent une configuration explicite — elles ne sont pas activées par défaut.
Reprendre la visibilité avec les bons outils
Les outils DSPM (Data Security Posture Management) — apparus vers 2021 et intégrés progressivement dans les plateformes CNAPP (Cloud-Native Application Protection Platform) — permettent de découvrir, classifier et surveiller les données dans les environnements cloud. Ils identifient les données sensibles (PII, données financières, secrets) qui résident dans le cloud, les configurations d'accès qui les exposent, et les flux de données entre services cloud.
Ces outils complètent les CSPM (qui surveillent les configurations) en ajoutant une dimension données : "où sont mes données sensibles, qui y accède, et sont-elles correctement protégées ?" Cette visibilité est le prérequis pour remplir les obligations réglementaires et pour prendre des décisions de gouvernance des données éclairées.
Verkada, une startup proposant des caméras de surveillance connectées au cloud, a subi une compromission de son infrastructure cloud qui a donné accès à des flux vidéo en direct de 150 000 caméras installées chez ses clients — hôpitaux, prisons, usines Tesla, bureaux de Cloudflare. Les attaquants avaient obtenu un compte Super Admin de Verkada qui offrait un accès non restreint à l'ensemble de l'infrastructure cloud. Les organisations utilisant les caméras Verkada n'avaient pas de visibilité sur le niveau d'accès que Verkada ou ses employés avaient sur leurs flux vidéo — une dimension du périmètre de responsabilité partagée qu'elles n'avaient pas évaluée.
L'invalidation du Privacy Shield par la Cour de Justice de l'Union Européenne (arrêt Schrems II, juillet 2020) a révélé que des milliers d'organisations européennes transféraient des données personnelles vers des services cloud américains sans avoir évalué si ces transferts étaient conformes au RGPD. La décision a imposé une revue urgente de tous les flux de données vers des services cloud non européens. De nombreuses organisations ont découvert, à cette occasion, qu'elles ne savaient pas précisément quelles données personnelles résidaient dans quels services cloud et dans quelles régions géographiques.
L'application de transport Didi Global a été sanctionnée par la Cyberspace Administration of China (CAC) pour des violations de la loi sur la sécurité des données, notamment pour avoir transmis des données de localisation d'utilisateurs chinois vers des serveurs en dehors de la Chine. La sanction (1,19 milliard de dollars) est l'une des plus importantes jamais imposées pour une violation de la réglementation sur la localisation des données. L'incident illustre les risques réglementaires liés à l'absence de visibilité et de contrôle sur la localisation des données dans les architectures cloud globales.