Chiffrement total ou rien pour les données gouvernementales

Les gouvernements vont au-delà de la résidence des données et imposent un contrôle obligatoire des clés de chiffrement.

Stocker des données à l’intérieur de vos frontières ne suffit plus. Les gouvernements se rendent compte que la « résidence » des données n’est pas synonyme de « souveraineté » des données.souveraineté. » En d’autres termes, le fait d’avoir des serveurs dans votre pays mais gérés par des hyperscalers étrangers signifie que vous ne pouvez pas vraiment contrôler vos données. C’est un problème. De plus en plus, les dirigeants du secteur public du monde entier s’efforcent de contrôler eux-mêmes les clés de chiffrement. Cette évolution repose sur une vérité assez évidente : si quelqu’un d’autre détient les clés, il contrôle l’accès.

Lorsque les fournisseurs de cloud conservent l’accès aux mécanismes de décryptage, que ce soit à des fins de maintenance, de conformité ou pour répondre à des demandes légales, cela sape le concept même de confidentialité des données. Si vos données peuvent être décryptées, même en théorie, par un tiers soumis à des lois étrangères comme le CLOUD Act américain, alors vos données ne sont pas souveraines. Sanchit Vir Gogia, analyste en chef chez Greyhound Research, l’a bien compris : « Lorsqu’un fournisseur de cloud a une quelconque capacité à décrypter les données de ses clients […], ces données ne sont plus vraiment souveraines. »

Si un gouvernement veut s’assurer que ses informations critiques ne tombent pas entre des mains étrangères, il n’est pas négociable de posséder le processus de cryptage, de bout en bout. Et cela implique de posséder les clés. Il ne s’agit pas seulement de sécurité, mais aussi de contrôle, de conformité et d’influence géopolitique dans un monde numérique. Les dirigeants et les DSI doivent être attentifs car ce changement a un impact sur la façon dont vous choisissez vos partenaires cloud, sur la façon dont vous structurez la gouvernance des données et sur ce à quoi doit ressembler votre stratégie d’infrastructure à long terme.

Les gouvernements avant-gardistes s’orientent déjà dans cette direction. Si vous construisez ou vendez à ce secteur, votre avenir sur le marché dépend de votre capacité à comprendre que le contrôle des clés de chiffrement n’est pas une « bonne chose ». Il s’agit d’un élément fondamental.

Les dirigeants du secteur public suisse plaident en faveur du chiffrement de bout en bout

La Suisse place la barre plus haut. Un groupe appelé Privatim, les responsables de la protection des données des collectivités locales suisses, a récemment lancé un appel clair et direct : plus de stockage de données gouvernementales sensibles sur des plateformes cloud internationales à moins qu’il n’y ait un véritable chiffrement de bout en bout, entièrement contrôlé et mis en œuvre par l’organisme gouvernemental lui-même.

Ils ont spécifiquement signalé que Microsoft 365 n’atteignait pas ce seuil. Non pas parce qu’il n’est pas sécurisé au sens strict, mais parce que Microsoft, comme la plupart des fournisseurs à grande échelle, peut toujours accéder aux données des utilisateurs en cas de besoin. Même avec le chiffrement des données au repos et en transit, si le fournisseur détient la clé, il y a une porte dérobée. C’est pourquoi cette solution n’est pas adaptée aux charges de travail publiques très sensibles.

Il s’agit d’un virage pragmatique. Les autorités suisses ne rejettent pas complètement le SaaS, elles disent plutôt : « Utilisez-le avec discernement : « Utilisez-le à bon escient. Possédez les clés. Encryptez-les vous-même. Ne faites pas une confiance aveugle. » Ce n’est pas de la paranoïa, c’est de la gouvernance. Surtout dans un climat où les agences ne se contentent pas de protéger les données des citoyens, mais naviguent dans de véritables enjeux géopolitiques concernant la façon dont l’infrastructure numérique est contrôlée, où et par qui.

Si vous êtes un fournisseur de technologie, ignorez cette tendance à vos risques et périls. De plus en plus d’institutions publiques vont suivre l’exemple de la Suisse. Si vous ne pouvez pas prendre en charge le chiffrement intégral avec contrôle des clés du client, il y a de fortes chances que vous perdiez des contrats à fort enjeu dans le secteur public. La demande est claire : aucun accès au texte en clair par le fournisseur, jamais. Pour les gouvernements, c’est en train de devenir la norme. Pour les entreprises qui s’intéressent à ces marchés, cela devrait être votre plan directeur.

La résidence géographique des données ne permet pas de faire face à l’ensemble des risques liés au contrôle des données dans les environnements cloud modernes.

Beaucoup d’organisations parlent encore de la résidence des données comme s’il s’agissait d’une norme absolue. Mais soyons honnêtes, ce n’est pas le cas. Le fait de placer des données dans un pays donné ne signifie pas que ces données sont protégées contre toute influence ou tout accès étranger. C’est la réalité à laquelle la plupart des régulateurs sont en train de se rendre compte. Stocker les données localement n’est pas la même chose que de les verrouiller.

Les lacunes en matière de responsabilité ne se limitent pas à la localisation. Les écosystèmes SaaS d’aujourd’hui impliquent des chaînes de services complexes qui comprennent des sous-traitants, des outils tiers et des mises à jour en temps réel que les organismes publics ne peuvent souvent pas suivre, et encore moins contrôler. Lorsque les fournisseurs se réservent le droit de modifier unilatéralement les termes du contrat, ou lorsque les services de base sont gérés par des équipes situées dans plusieurs juridictions, le client ne perd pas seulement le contrôle, il perd aussi sa souveraineté.

Ashish Banerjee, analyste principal chez Gartner, va droit au but : « Les données stockées dans une juridiction peuvent toujours être consultées par des gouvernements étrangers en vertu de lois extraterritoriales telles que le US CLOUD Act. » En d’autres termes, même si les données ne quittent jamais physiquement un pays comme l’Allemagne ou les Émirats arabes unis, elles peuvent toujours être consultées si un fournisseur basé aux États-Unis gère le service.

Pour les dirigeants du secteur public et des entreprises, cela redéfinit ce qui doit être considéré comme « sécurisé ». Si le contrôle juridique et opérationnel n’est pas de votre ressort, l’hébergement local n’est qu’une protection de surface. Les décideurs doivent regarder au-delà des promesses des centres de données régionaux et exiger des contrôles techniques transparents, en particulier en ce qui concerne les risques juridiques transfrontaliers et les privilèges d’accès des fournisseurs. Le discours sur la conformité a changé. Le cryptage et les limites de confiance comptent désormais plus que la géographie physique.

Les tendances réglementaires européennes indiquent une priorité croissante de la souveraineté technique par le biais de contrôles renforcés du chiffrement.

La Suisse n’est pas seule. L’Allemagne, la France, le Danemark et la Commission européenne prennent des mesures similaires, discrètement dans certains cas, publiquement dans d’autres. Ce qui est cohérent, c’est la direction prise : Les organismes du secteur public européen s’orientent vers la souveraineté technique. Cela signifie que les mécanismes de contrôle sont entre les mains du client, et non du fournisseur de cloud.

Cette évolution s’accélère. Prabhjyot Kaur, analyste principal au sein du groupe Everest, l’a dit clairement : « Si la position suisse est plus stricte que la plupart des autres, il ne s’agit pas d’un cas isolé. Elle accélère une évolution réglementaire plus large vers des contrôles de souveraineté technique ». Le mot « technique » est essentiel. Les régulateurs européens s’éloignent des clauses juridiques et des certifications. Elles veulent des barrières techniques applicables, un chiffrement côté client, la garde des clés par des tiers et une visibilité totale sur qui peut accéder à quoi et comment.

Cela a de l’importance pour la stratégie cloud à venir. Si vous travaillez dans le domaine de l’infrastructure numérique, des outils de conformité ou du SaaS, ces marchés exigent désormais plus que des cases à cocher et des garanties sur papier. Ils veulent des systèmes capables de résister aux tests juridiques et aux changements géopolitiques. Si le système ne peut pas empêcher un décryptage non autorisé, même par le fournisseur lui-même, il ne passe pas.

Les chefs d’entreprise désireux d’assurer la pérennité de leurs offres pour le secteur public en Europe doivent agir maintenant. L’intégration de la souveraineté dans l’architecture, plutôt que de la vendre par le biais de contrats, va déterminer quels fournisseurs seront sélectionnés lors du prochain cycle d’appels d’offres publics. La feuille de route est en train de changer et le message est simple : donner aux clients un contrôle direct n’est pas seulement une mise à niveau, c’est une condition d’entrée.

Le chiffrement de bout en bout, tout en sécurisant les données, introduit des compromis opérationnels pour les agences gouvernementales

Le chiffrement de bout en bout place le contrôle là où il doit être, c’est-à-dire chez le client. S’il est correctement mis en œuvre, il empêche quiconque, fournisseurs de cloud inclus, d’accéder au contenu en clair des données. Ce niveau de protection est puissant, mais il a un coût important.

La fonctionnalité en prend un coup. Lorsque le fournisseur n’a pas accès aux données, les fonctionnalités cloud standard telles que la recherche en texte intégral, l’indexation ou la détection automatisée des menaces deviennent limitées, voire impossibles. Les outils pilotés par l’IA, qui reposent sur l’analyse des données en amont et le traitement en temps réel par le fournisseur, ne fonctionnent pas de la même manière, voire pas du tout. Prabhjyot Kaur, analyste principal chez Everest Group, l’a souligné en remarquant que des outils tels que les copilotes d’IA de Microsoft nécessitent un traitement côté fournisseur, ce qui est incompatible avec les modèles de chiffrement strict de bout en bout.

En outre, la complexité de l’infrastructure augmente. Les agences qui gèrent leurs propres clés de chiffrement doivent investir dans des systèmes internes de gestion des clés. Cela signifie plus de frais généraux de gouvernance, plus d’expertise technique et plus de budget. Ashish Banerjee, de Gartner, a insisté sur ce point en déclarant que le chiffrement et le déchiffrement à grande échelle peuvent affecter les performances, qu’ils ajoutent de la latence, nécessitent des ressources matérielles supplémentaires et augmentent le coût total de possession.

Pour les cadres et les responsables informatiques du secteur public, il s’agit d’un compromis entre une sécurité à toute épreuve et l’agilité opérationnelle. La technologie permettant de tout chiffrer à la source existe. Mais il n’est peut-être pas pratique, ni même nécessaire, de le faire uniformément dans tous les cas d’utilisation. La clé est d’identifier les ensembles de données qui nécessitent réellement ce niveau de contrôle et ceux qui ne le nécessitent pas. La sécurité est essentielle, mais les performances du système et la maintenabilité à long terme le sont tout autant. L’équilibre sera obligatoire.

Une approche échelonnée du chiffrement apparaît comme une solution pratique pour équilibrer la fonctionnalité et la sécurité.

Toutes les charges de travail ne sont pas égales, et l’application d’un chiffrement complet de bout en bout pour chaque donnée présente un rendement décroissant. Les gouvernements commencent à aborder ce défi avec plus de précision. Au lieu d’appliquer un chiffrement maximal à tout, ils attribuent des niveaux de chiffrement en fonction de la sensibilité des données.

Les contenus tels que les secrets d’État, les enquêtes judiciaires ou les documents liés à la sécurité nationale sont isolés dans des environnements souverains, des locataires personnalisés avec un cryptage strict côté client et un contrôle d’accès rigide. Parallèlement, les données moins sensibles, qu’il s’agisse de communications administratives ou de dossiers de services aux citoyens, peuvent toujours utiliser des plateformes SaaS standardisées avec un cryptage contrôlé et des couches d’audit.

Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a expliqué clairement cette tendance émergente : les contenus hautement confidentiels doivent être enveloppés dans un véritable cryptage de bout en bout et isolés dans des infrastructures spécialisées, tandis que les opérations gouvernementales plus générales se poursuivent sur des plates-formes classiques sous une surveillance accrue.

Cette approche échelonnée offre une plus grande flexibilité aux responsables informatiques des administrations. Ils peuvent investir massivement dans la sécurisation des seules données qui le nécessitent vraiment, sans surcharger les systèmes moins critiques. Elle permet également de réduire les coûts, de simplifier l’expérience de l’utilisateur pour les charges de travail générales et de permettre aux équipes de continuer à utiliser des plateformes familières pour les opérations quotidiennes.

Pour les fournisseurs, cela signifie qu’ils doivent proposer des options, et non un modèle de sécurité unique. Les clients du secteur public attendront des plateformes cloud qui prennent en charge une forte segmentation, des modèles de cryptage variables et une intégration transparente avec des outils souverains. À long terme, les marchés récompenseront les fournisseurs capables d’offrir ce type de flexibilité architecturale.

Les fournisseurs de cloud à grande échelle doivent renforcer les caractéristiques de souveraineté technique pour conserver leur clientèle gouvernementale

Les gouvernements durcissent leurs normes et les fournisseurs de cloud à grande échelle sont contraints de s’adapter. Les garanties traditionnelles telles que l’hébergement régional des données et les sauvegardes contractuelles ne suffisent plus. La nouvelle base de référence comprend le cryptage contrôlé par le client, les restrictions d’accès basées sur la juridiction et les barrières techniques exécutoires qui éliminent les droits de décryptage du côté du fournisseur.

Il ne s’agit pas de demandes marginales. Elles deviennent des exigences critiques sur les marchés où la conformité et la souveraineté s’entrecroisent. Prabhjyot Kaur, du groupe Everest, a souligné que Microsoft a déjà commencé à déployer des modèles plus stricts avec des contrôles d’accès juridictionnels et un cryptage amélioré contrôlé par le client. Ce changement n’est pas décoratif, il est obligatoire pour rester pertinent dans les secteurs publics où la conformité est élevée.

Sanchit Vir Gogia, de Greyhound Research, l’a clairement indiqué : les fonctions telles que l’informatique confidentielle, le chiffrement côté client et la gestion des clés externes ne sont plus des valeurs ajoutées. Elles sont indispensables si un fournisseur de cloud veut rester compétitif dans les marchés publics.

Les dirigeants des entreprises du secteur du cloud devraient revoir leurs stratégies de mise sur le marché. L’hypothèse selon laquelle la conformité réglementaire peut être assurée par des conditions détaillées et des pistes d’audit en arrière-plan n’est plus valable. Les organismes publics attendent des fournisseurs qu’ils prouvent, techniquement et pas seulement contractuellement, qu’il est impossible d’accéder involontairement à leur infrastructure ou de la contraindre légalement à exposer des charges de travail sensibles.

Les fournisseurs qui ne répondent pas à cette exigence seront disqualifiés dès le début de la procédure d’appel d’offres. Ceux qui y parviendront remporteront des contrats institutionnels à long terme. Le marché n’est pas seulement en train de changer, il est en train de se diviser. Et les décideurs du secteur public mènent la charge en matière de normes.

Le marché de l’informatique Cloud est sur le point de connaître une bifurcation, les solutions souveraines gagnant du terrain sur les plateformes globales traditionnelles.

Nous assistons à un changement structurel sur le marché du cloud. À mesure que les exigences réglementaires s’intensifient, un schéma clair se dessine : un niveau de services cloud continuera à servir les clients commerciaux mondiaux avec des modèles standard ; un autre s’adressera aux gouvernements et aux secteurs à forte conformité par le biais de solutions souveraines avec un contrôle étroit du chiffrement et des frontières juridictionnelles locales.

Il ne s’agit pas de spéculations. Ashish Banerjee, de Gartner, a prédit exactement cela : un modèle à deux niveaux, dans lequel les fournisseurs non américains et régionaux gagnent du terrain en offrant des plates-formes conçues pour répondre aux normes gouvernementales strictes en matière de cryptage. Ces fournisseurs sont considérés comme mieux équipés pour assurer la transparence, l’alignement réglementaire et l’indépendance par rapport à des lois telles que le CLOUD Act américain.

Pour les DSI du secteur public, cela signifie qu’il faut aller au-delà des écosystèmes de fournisseurs familiers et évaluer les fournisseurs émergents qui peuvent fournir des produits orientés vers la souveraineté de manière native. Pour les grandes entreprises technologiques, il s’agit d’un signal d’alarme pour construire une infrastructure adaptable qui peut fonctionner dans différents cadres nationaux, sans compromettre les attentes en matière de sécurité d’un côté ou de l’autre.

Ce changement est déjà en cours. Il va remodeler les partenariats, les processus d’approvisionnement et les normes de conception des produits. Les fournisseurs qui ne sont pas en mesure d’offrir des solutions de haute confiance, prêtes pour la souveraineté à l’échelle, perdront de l’attrait sur les marchés réglementés. Les chefs d’entreprise doivent se positionner dès maintenant, car la demande ne faiblit pas et la prochaine série de décisions définira qui contrôlera les infrastructures critiques à travers les frontières.

Réflexions finales

D’une manière générale, les attentes ont changé. Les gouvernements n’acceptent plus les assurances superficielles ou les termes généraux de conformité. Ils veulent des preuves, techniques, structurelles et exécutoires, que leurs données les plus sensibles ne peuvent être consultées sans leur consentement. Ce changement n’affecte pas seulement les fournisseurs de cloud. Elle redéfinit la manière dont les fournisseurs d’entreprises, les consultants en sécurité, les architectes d’infrastructure et les plateformes SaaS opèrent sur les marchés réglementés.

Pour les décideurs, c’est le moment de réévaluer votre architecture, vos partenariats et vos hypothèses de risque. Si vous vendez au secteur public ou si vous construisez des systèmes qui touchent aux données publiques, vous devrez offrir un contrôle réel, et pas seulement des promesses. Les solutions qui n’incluent pas le chiffrement côté client, la gestion des clés externes et des limites d’accès vérifiables continueront à ne pas être retenues.

Les marchés récompenseront les entreprises qui font de la souveraineté une fonction essentielle, et non une réflexion après coup. Cela signifie qu’elles doivent être en mesure d’opérer dans des cadres nationaux, de proposer des modèles de déploiement flexibles et d’assurer une transparence totale. Pour les chefs d’entreprise, l’opportunité est claire : concevez en gardant le contrôle à l’esprit, et votre infrastructure restera pertinente. Ignorez ce changement et vous vous retrouverez exclu de marchés critiques qui deviennent de plus en plus exigeants.

Alexander Procter

décembre 5, 2025

16 Min

Technologies et innovation
Votre marque a besoin d’un DAM pour rester cohérente
Déc 4, 2025

14 min
Technologies et innovation
Là où l’IA échoue pour la plupart des entreprises
Déc 4, 2025

15 min
Recherche et conception produit
Comment les données intelligentes boostent la satisfaction client
Déc 4, 2025

11 min

Chiffrement total ou rien pour les données gouvernementales

Les gouvernements vont au-delà de la résidence des données et imposent un contrôle obligatoire des clés de chiffrement.

Les dirigeants du secteur public suisse plaident en faveur du chiffrement de bout en bout

La résidence géographique des données ne permet pas de faire face à l’ensemble des risques liés au contrôle des données dans les environnements cloud modernes.

Les tendances réglementaires européennes indiquent une priorité croissante de la souveraineté technique par le biais de contrôles renforcés du chiffrement.

Le chiffrement de bout en bout, tout en sécurisant les données, introduit des compromis opérationnels pour les agences gouvernementales

Une approche échelonnée du chiffrement apparaît comme une solution pratique pour équilibrer la fonctionnalité et la sécurité.

Les fournisseurs de cloud à grande échelle doivent renforcer les caractéristiques de souveraineté technique pour conserver leur clientèle gouvernementale

Le marché de l’informatique Cloud est sur le point de connaître une bifurcation, les solutions souveraines gagnant du terrain sur les plateformes globales traditionnelles.

Réflexions finales

Votre marque a besoin d’un DAM pour rester cohérente

Là où l’IA échoue pour la plupart des entreprises

Comment les données intelligentes boostent la satisfaction client

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !