Le canton de Zurich a estimé sans risque que ses entités aient recours à Microsoft 365 dans le cloud. Une grande nouvelle dans une époque où la question de la protection des données est hautement d’actualité.
Avant de prendre une telle décision, l’exécutif zurichois a analysé les risques de passer un tel cap. Un argumentaire intéressant que l’on vous propose de découvrir dans cet article.
Pour quelles raisons le canton Zurichois donne son feu vert pour Microsoft 365 ?
C’est tout récemment que le canton de Zurich a publié son argumentaire qui a mené à la décision d’autoriser son administration publique à utiliser les services cloud de M365. Il est bon de rappeler qu’en plus de s’agir d’une administration publique suisse, le fournisseur Microsoft est avant tout un hyperscaler américain soumis au Cloud Act.
Plusieurs raisons viennent donc motiver ce tournant.
Le cloud, une nécessité ?
Tout d’abord, il faut reconnaître qu’il est difficile de faire sans. Le canton reconnait les atouts de travailler avec le cloud et de l’évolution de l’offre des fournisseurs IT en Suisse. De plus en plus de solutions de sécurité sont disponibles seulement pour le cloud. D’ailleurs, Microsoft Teams en est la preuve.
Le canton de Zurich ne voit pas d’alternative à cette évolution qu’il décrit de manière assez frappante : sans le cloud, le canton serait “en marge technologique” car il serait “fermé au progrès technologique”.
Ces raisons font prendre conscience au canton de la nécessité d’adopter le cloud afin d’éviter de se mettre hors-jeu dans ce domaine IT par rapport aux entreprises du secteur privé et des autres collectivités publiques. Sans compter les risques à prendre en termes de numérisation et de collaboration, de sécurité et d’attractivité si le canton s’opposait au cloud.
Un risque lié au Cloud Act
Comme dit plus haut, Microsoft étant un fournisseur soumis au Cloud Act, le canton a souhaité estimer le risque de donner l’accès à leurs données hébergées dans le cloud à des autorités étrangères. Le canton de Zurich a donc établi un calcul du risque sur le modèle d’évaluation des risques de David Rosenthal permettant de déterminer de manière structurée l’éventualité d’un accès légal réussi par une autorité étrangère dans le cadre d’un projet cloud.
Un calcul basé sur des chiffres et statistiques qui a donné un résultat plutôt concluant pour le canton. En effet, sur une période de 5 ans, il apparaît seulement 0,74% de probabilité d’accéder aux données les plus sensibles du canton et qu’il faudrait 1552 ans pour qu’un accès illégal se produise au moins une fois.
C’est plutôt serein que le canton de Zurich a estimé qu’il n’y avait donc que très peu de chance voire pas du tout que Microsoft accède à leurs données stockées dans le cloud. Un argument de poids qui a probablement fait pencher la balance.
Vers la nomination d’un responsable de la sécurité cloud pour le canton
En plus d’avoir donné le feu vert à Microsoft d’héberger ses données dans le cloud, le gouvernement a pris la décision de recruter un responsable de la sécurité cloud dans le but de garantir la conformité du cloud, de suivre l’évolution du risque et d’élaborer des mesures pour minimiser ces risques. En effet, le conseil de gouvernement est conscient que cette évaluation des risques n’est pas une question de “tirer et oublier”. Ce qu’il faut plutôt, c’est “une surveillance déterminée et continue et une évaluation constante des risques”. A cette fin, le conseil a décidé de créer ce poste.
Ce qu’on peut en conclure, c’est que c’est une décision qui reste intéressante dans un contexte où le Cloud Act américain et la souveraineté des environnements cloud des administrations publiques font débat.
Sources : ICTjournal – Datenrecht
PRODUCTIVITÉ ET SÉCURITÉ
Microsoft 365 contribue à la croissance et à la prospérité de votre entreprise
