Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks
15 mai 2025
Parce que... c'est l'épisode 0x602!
Spécial - Panel Propolys - Innovation en cybersécurité - part 3
14 mai 2025
Parce que... c'est l'épisode 0x601!
Spécial - Panel du 600e - Notre gestion de risque personnel / OPSEC
27 mai 2025
Parce que... c'est l'épisode 0x600!
Spécial - Panel Propolys - Innovation en cybersécurité - part 2
14 mai 2025
Parce que... c'est l'épisode 0x599!
Teknik - Résultat de l'usage de l'IA dans le contexte d'un CtF (Northsec)
30 mai 2025
Parce que... c'est l'épisode 0x598!
Teknik - Vivez votre Première Key Ceremony - La Clé pour Sécuriser les Données Stratégiques de votre Entreprise
09 avril 2025
Parce que... c'est l'épisode 0x597!
Spécial - Souveraineté numérique - part 3 (SecNumCloud)
28 mai 2025
Parce que... c'est l'épisode 0x596!
Spécial - Panel Propolys - Innovation en cybersécurité - part 1
14 mai 2025
Parce que... c'est l'épisode 0x595!
Teknik - Tout ce que vous avez toujours voulu savoir sur la cryptographie post-quantique sans jamais oser le demander
09 avril 2025
Parce que... c'est l'épisode 0x594!
Spécial - NorthSec 2025 Panel
15 mai 2025
Parce que... c'est l'épisode 0x593!
H'umain - Ingénierie sociale et IA - Une menace ou un atout pour la défense ?
09 avril 2025
Parce que... c'est l'épisode 0x592!
Actualités Cyber Citoyen au 20 mai 2025
20 mai 2025
Parce que... c'est l'épisode 0x591!
Teknik - L'IA dans le contexte d'un CtF (Northsec)
16 mai 2025
Parce que... c'est l'épisode 0x590!
Spécial - Cybersécurité dans le secteur de la santé
08 avril 2025
Parce que... c'est l'épisode 0x589!
SéQCure/Spécial - Histoires d’erreurs
08 avril 2025
Parce que... c'est l'épisode 0x588!
Spécial - Souveraineté numérique - part 2
07 mai 2025
Parce que... c'est l'épisode 0x587!
Parce que… c’est l’épisode 0x587!
Shameless plug
- 10 au 18 mai 2025 - NorthSec
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Ce second entretien avec Julien Levrard approfondit les aspects de la souveraineté numérique, en explorant la différence fondamentale entre le protectionnisme économique et la protection des données dans un contexte d’autonomie stratégique.
La souveraineté numérique vs le protectionnisme
Julien clarifie que la souveraineté numérique ne doit pas être confondue avec le protectionnisme économique. Alors que le protectionnisme relève des politiques entre États, la souveraineté numérique concerne davantage l’agilité et l’autonomie des acteurs dans leur gestion technologique. Pour OVH Cloud, l’enjeu est d’assurer à leurs clients des services qui leur permettent d’évoluer sans risques juridiques ou opérationnels malgré les tensions internationales.
L’évitement du verrouillage technologique
Julien identifie plusieurs formes de verrouillage client :
- Le verrouillage technologique, quand une technologie n’existe que chez un seul fournisseur
- Le verrouillage contractuel par des moyens commerciaux
- Le verrouillage insidieux par des services annexes (“enablers”) comme la gestion des droits d’accès, clés ou réseaux
OVH Cloud valorise la réversibilité et s’engage à faciliter tant l’arrivée que le départ des clients. Cette approche se matérialise par l’adoption de standards ouverts (comme S3) et l’utilisation de technologies open source.
Protection des données contre les ingérences étatiques
La protection contre les demandes extraterritoriales s’organise sur trois niveaux :
- Niveau juridique : structure du groupe OVH Cloud avec des entités légales correspondant aux pays, limitant la porosité entre juridictions
- Niveau organisationnel : gestion rigoureuse des droits d’accès et des équipes pour éviter les pressions sur les collaborateurs
- Niveau technique : renforcement de la sécurité pour empêcher l’exploitation de vulnérabilités
L’intégration verticale d’OVH Cloud (peu de dépendance à des tiers) leur confère une maîtrise plus complète de ces leviers d’indépendance.
Le chiffrement : un outil essentiel mais limité
Julien nuance l’importance du chiffrement dans la souveraineté numérique :
- Le chiffrement n’est pas une solution miracle mais un outil à combiner avec d’autres mesures
- Il présente des compromis en termes de coût, complexité et performance
- Le chiffrement de bout en bout (E2E) limite certaines capacités de traitement en cloud
OVH a développé un service KMS (Key Management Service) conforme aux standards KMIP, contrairement aux implémentations propriétaires des hyperscalers américains. Cette approche standardisée facilite l’intégration pour les clients et préserve leur liberté de migration.
La tension entre conformité et gestion des risques
Julien explique la dualité dans leur approche :
- Une culture de décision orientée par les risques, où les experts déterminent la meilleure solution selon le contexte
- Une obligation de démontrer la conformité à des normes comme PCI DSS, ISO 27001 ou SecNumCloud
Cette double approche crée une tension constructive : penser en termes de risques tout en justifiant la conformité. Parfois, une exigence de conformité peut diminuer la sécurité réelle, nécessitant un dialogue avec les auditeurs pour expliquer pourquoi certaines déviations sont justifiées.
Conclusion
La souveraineté numérique chez OVH se traduit paradoxalement par une ouverture (standards, interopérabilité) plutôt qu’une fermeture. Cette approche permet aux clients de rester maîtres de leurs données tout en bénéficiant d’une collaboration technologique internationale. La discussion se termine sur l’intérêt d’approfondir ultérieurement le référentiel SecNumCloud, qui représente un modèle potentiellement pertinent pour le Canada.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: chiffrement, conformite, pcidss, securite
Tweet