Est-ce que l’open source garantit la confidentialité et la protection des données d’entreprise?
La confidentialité des données se définit par la possibilité pour une organisation de déterminer quelles données dans un système informatique peuvent être partagées à des tiers.
Les responsables informatique sont de plus soucieux de la confidentialité et de la sécurité des données d’entreprise, et ils recherchent des moyens de conserver la maîtrise sur la façon dont sont accédées ces données.
Table des matières
Quels sont les types de données sensibles qui sont sujettes à confidentialité dans le contexte des entreprises ?
Les données réglementées, telles que les dossiers patient, l’information client, les enregistrements comptables ; sont souvent spécifiques à un secteur d’activité et protégées par des lois et des traités tels que la loi Kouchner de 2002 sur les données médicales, le RGPD européen ou encore le fameux EU-US Privacy Shield
Les données des employés, comme les numéros de sécurité sociale, les salaires, les informations personnelles comme leurs numéros de téléphone et les adresses de leur domicile
Les données non réglementées, comme les conversations par messagerie, les présentations et rapports qui sont produits en permanence par les employés
Les données sensibles à la concurrence, comme les documents de propriété intellectuelle, les métriques business, les documents de planning et stratégie et les documents légaux.
Les moyens d’accès, comme les mots de passe, les clés de cryptage et les jetons d’accès
Le Dilemme du Cloud
Il y a une vingtaine d’années, les responsables informatique pouvaient encore raisonnablement contrôler leurs données d’entreprise en les conservant entièrement sur place dans les locaux.
La confidentialité des données restait gérable tant que les données restaient entièrement sous contrôle des serveurs de l’entreprise.
Puis, les coûts d’infrastructure informatique et du logiciel ont commencé à baisser, les réseaux sont devenus plus rapides, plus fiables et plus sûrs. Alors le Cloud est arrivé et il changea tout.
Tout à coup, les utilisateurs en entreprise se sont vu offrir de superbes services par internet avec une promesse de rapidité et d’efficacité que leurs départements informatique ne pouvaient pas égaler.
Les données d’entreprise ont alors commencé à se répandre sur internet au travers d’une myriade de services SaaS. Pour la plupart des utilisateurs, “le cloud” était un endroit mythique—confondu avec l’Internet—où ils pouvaient trouver tout et faire plus.
Cependant, comme on dit, “Il n’y a pas de cloud. C’est juste l’ordinateur de quelqu’un d’autre.” En réalisant qu’ils révélaient des données de l’entreprise, de nombreux responsables informatique se sont mis à interdire à leurs utilisateurs de faire usage des services cloud au travail.
Mais d’autre part, l’informatique cloud est attrayante pour les responsables informatique car elle est flexible et économique.
Aujourd’hui, la question pour la plupart des responsables informatique n’est pas tant de savoir s’ils doivent ignorer le cloud, mais comment le gérer correctement sans pour autant compromettre les objectifs business.
Concernant les aspects de sécurité, la plupart des fournisseurs de services cloud offrent des niveaux de conformité de sécurité qui sont supérieur à ce que la plupart des entreprises pourraient s’offrir si elles avaient à les mettre en oeuvre par elles-même.
Est-ce que cela signifie que les entreprises feraient mieux de tout déplacer sur un cloud public et se contenter des politiques de sécurité des données d’Amazon, Google ou Microsoft ? Bien sûr que non.
Assurer la confidentialité des données dans le cloud est probablement atteignable pour la plupart des entreprises.
Cependant, de la même manière qu’on le fait pour une infrastructure locale privée, il est toujours nécessaire de mettre en oeuvre des contrôles de sécurité par dessus les solutions des fournisseurs cloud.
Découvrez eXo Platform 6
Téléchargez gratuitement la fiche produit eXo Platform 6 et découvrez toutes les fonctionnalités et bénéfices
Est-ce que l’open source favorise la confidentialité et la sécurité des données ?
Plus de 78% des entreprises utilisent des logiciels open source, et il existe une tendance qui montre qu’ils se répandent largement, car de plus en plus de catégories de logiciels d’entreprise propriétaires ont des alternatives open source viables.
A mesure que l’adoption des logiciels open source s’est amplifiée, les voix des sceptiques se sont élevées pour dénoncer non plus le mode de licence mais les questions de sécurité.
Le logiciel propriétaire aborde la sécurité par l’opacité, alors que l’open source s’appuie au contraire sur la transparence. Pourtant, aucune des deux approaches n’est intrinsèquement plus sûre que l’autre. D’autres facteurs entrent en jeu.
Les projets open source les plus actifs bénéficient d’une large communauté qui détecte et réagit aux problèmes rapidement. Et cela fonctionne bien puisque l’internet tourne en grande partie sur des logiciels open source.
Cependant, les sociétés qui veulent d’appuyer sur le logiciel open source restent responsables d’en examiner sa sécurité et de rester à niveau pour les mises à jour de sécurité. La bonne nouvelle c’est qu’il existe des bases de données en ligne et des outils qui tracent les vulnérabilités dans les bibliothèques open source.
Avec un effort raisonnable, il est donc possible de rester en sécurité en utilisant les logiciels open source. La plupart des éditeurs de logiciel d’entreprise qui embarquent des bibliothèques open source, protègent leurs clients de manière proactive par des politiques de patch et des programmes d’avis de sécurités.
La confidentialité est essentiellement une question de contrôle. Que les responsables informatique choisissent de se décharger d’une partie de leur travail sur les fournisseurs de services cloud ou bien sur un éditeur de logiciel tiers, ils concèdent toujours une partie du contrôle sur leurs données.
La possibilité d’auditer un système entièrement pour examiner les manipulations de données
La possibilité d’adapter un système pour qu’il soit conforme à leurs politiques de sécurité
Dans tous les cas, la confidentialité des données n’est pas sans effort. La sûreté totale est difficile, voire impossible à atteindre pour la plupart des entreprises. Comme c’est toujours le cas avec la sécurité, tout est question de mettre le curseur au bon endroit entre risque et souplesse.
Livre Blanc
Open source
en entreprise
Les logiciels open source se développent depuis plusieurs dizaines
d’années maintenant.
"Je suis responsable des produits chez eXo, je supervise la gestion des produits et le marketing produit, mes équipes conçoivent, créent et promeuvent les fonctionnalités et les améliorations d'eXo Platform. En tant qu'ancien développeur de logiciels devenu chef de produit, j'ai une passion pour les technologies qui sont susceptibles d'améliorer la vie des gens.
Dans ce blog, j'écris sur certains de mes intérêts personnels, tels que la productivité, les formes alternatives de gestion et d'organisation des entreprise, la collaboration, les technologies open-source et émergentes. "