Lorsqu’un organisme du secteur public évalue une plateforme de postes de travail virtuels, la liste des finalistes se résume généralement à des noms connus, notés en fonction de leurs fonctionnalités de sécurité, de leurs performances et de leur prix. Il y a toutefois une question qui figure rarement dans la grille d’évaluation, et c’est justement celle qui peut discrètement l’emporter sur toutes les autres :
En fin de compte, qui peut être contraint d'accéder à vos données ?
Ce n'est pas l'endroit où les données sont stockées. Mais qui peut être contraint de les remettre.
Le risque lié au CLOUD Act qui se cache derrière un déploiement “ conforme ”
La plupart des équipes informatiques des administrations publiques maîtrisent parfaitement les exigences en matière de localisation des données. Les données restent sur le territoire national, sur une infrastructure agréée, chiffrées et soumises à des audits. Sur le papier, tout est conforme.
C’est là que réside la faille. Plusieurs des plus grands fournisseurs de bureaux virtuels et de DaaS relèvent de la juridiction américaine. En vertu du CLOUD Act américain, un fournisseur relevant de la juridiction américaine peut être contraint de communiquer des données en sa possession, sous sa garde ou sous son contrôle en réponse à une demande judiciaire américaine, même lorsque ces données sont stockées en dehors des États-Unis. Le fait qu’un fournisseur héberge les données de votre organisme dans un centre de données local ne supprime pas nécessairement ce risque, car l’obligation incombe au fournisseur, et non à l’emplacement du serveur.
Pour une entreprise commerciale, ce risque est souvent jugé acceptable. Pour une administration publique, ou toute organisation soumise à des obligations de souveraineté, cela peut constituer un motif d’exclusion, et ce problème n’apparaît souvent qu’à un stade avancé de la procédure de passation de marché, voire jamais. Une plateforme peut satisfaire à tous les critères d’une liste de contrôle relative à la localisation, tout en laissant les données de l’administration accessibles à un gouvernement étranger par l’intermédiaire du fournisseur.
La question de la souveraineté ne se résume donc pas à “ où seront stockées nos données ? ”, mais plutôt à “ notre fournisseur est-il soumis à une législation étrangère susceptible de l'obliger à divulguer ces données ? ”. Si la réponse est affirmative, les contrôles de localisation constituent une mesure partielle, et non une solution complète.
Qu'est-ce qui distingue réellement les plateformes VDI en matière de souveraineté et de sécurité ?
Une fois que l’on a posé la bonne question, ce sont quelques facteurs qui permettent réellement de distinguer une plateforme d’une autre dans le cadre d’une utilisation par le secteur public.
Compétence du fournisseur.
C'est là un élément déterminant que la plupart des évaluations négligent. Un fournisseur ne relevant pas de la juridiction américaine n'est tout simplement pas soumis au CLOUD Act. Inuvika est basée au Canada et n'est donc pas soumise à cette loi. Pour les déploiements sur site, Inuvika OVD Enterprise ne collecte absolument aucune donnée client, ce qui réduit considérablement cette exposition spécifique au CLOUD Act ; lorsqu’un service géré est privilégié, celui-ci est fourni par l’intermédiaire de partenaires d’hébergement locaux indépendants plutôt que par un cloud mondial unique.
L'emplacement physique où sont stockées les données pendant une session.
La centralisation des données dans le centre de données, où elles ne sont jamais stockées sur le terminal, constitue un avantage structurel en matière de sécurité par rapport aux ordinateurs de bureau traditionnels. La plateforme doit, de par sa conception, empêcher les données d'être stockées sur le terminal.
Architecture et surface d'attaque.
Les environnements Windows restent une cible majeure des ransomwares ; par conséquent, réduire la dépendance à Windows dans le plan de contrôle de la VDI peut limiter l’exposition aux vecteurs d’attaque courants spécifiques à Windows. Une plateforme basée sur Linux permet de réduire l’exposition aux vulnérabilités courantes spécifiques à Windows et aux dépendances liées aux correctifs, avant même toute configuration. Inuvika OVD Enterprise repose sur Linux. Ajoutez à cela un modèle « Zero Trust », une authentification multifactorielle intégrée et un chiffrement de bout en bout, qui constituent des fonctionnalités natives et non des modules complémentaires payants.
Contrôle des terminaux.
Un système d'exploitation pour client léger verrouillé, tel que ResoluteOS d'Inuvika, réduit la surface d'attaque des terminaux et, en outre, permet de transformer du matériel vieillissant en clients légers sécurisés, prolongeant ainsi sa durée de vie plutôt que d'imposer un renouvellement.
Les agences de régulation des prix peuvent se défendre
La souveraineté et la sécurité déterminent la viabilité d'une plateforme. Le coût détermine si elle résiste à l'examen du public, et c'est au niveau du modèle d'octroi de licences que les plateformes divergent le plus.
Avec une licence par utilisateur désigné, vous payez pour chaque compte défini, qu’il soit utilisé ou non. Avec une licence par utilisateur simultané, vous ne payez que pour les utilisateurs connectés en même temps. Dans les environnements du secteur public fonctionnant par équipes ou de manière saisonnière, cela peut représenter une fraction seulement de l’effectif désigné. Une plateforme basée sur Linux permet également d’éviter les licences cumulées de Windows Server et SQL Server. Les organismes qui migrent vers Inuvika OVD Enterprise font état de réductions du coût total de possession pouvant atteindre 60 % par rapport aux plateformes existantes, et les licences par utilisateur simultané sont bien plus faciles à justifier dans un budget public qu’un modèle par poste qui évolue au rythme de l’organigramme.
La place d'Inuvika
Inuvika OVD Enterprise a été conçu autour de la combinaison de caractéristiques dont le secteur public a réellement besoin : un fournisseur échappant à la juridiction américaine et non soumis au CLOUD Act, une architecture « Zero Trust » basée sur Linux, la flexibilité offerte par un hyperviseur et le cloud sans risque de dépendance vis-à-vis d’un fournisseur, ainsi qu’un modèle de licence par utilisateur simultané qui résiste à l’examen minutieux des budgets.
Pour les acheteurs du secteur public, ce sont les preuves qui comptent avant tout, et la question essentielle est de savoir de quel type de preuves il s'agit. Des communes allemandes ont choisi Inuvika OVD Enterprise, notamment les villes de Nuremberg, Sulzbach, Stadthagen et Diez. Le fait qu’un gouvernement soucieux de sa souveraineté opte pour cette plateforme constitue la preuve la plus directe que l’argument avancé ci-dessus tient la route dans la réalité des marchés publics, et pas seulement sur le papier.
Inuvika répond également aux critères exigeants en matière de sécurité et de mise à disposition d’applications de manière plus générale. La NASA a évalué plusieurs solutions avant de choisir Inuvika pour fournir des applications Windows et Linux à ses utilisateurs. Cela témoigne de la rigueur du processus d’évaluation plutôt que de la souveraineté en soi ; une agence doit en effet s’assurer séparément du respect de sa juridiction, ce qui explique précisément pourquoi la question posée en tête de cet article est abordée en premier lieu.
Si votre agence est en train d'élaborer ses critères d'évaluation, la question de la souveraineté doit figurer en tête de la matrice, et non dans les notes de bas de page. Découvrez comment Inuvika OVD Enterprise se positionne en tant que plateforme VDI souveraine et sécurisée, ou Commencer un essai gratuit pour découvrir les économies que pourrait permettre la mise en place d'un système de licences concurrentes.
Foire aux questions
La localisation des données répond-elle aux exigences des pouvoirs publics en matière de souveraineté ?
Non. La notion de « résidence » détermine le lieu où les données sont stockées. La souveraineté, quant à elle, porte sur la question de savoir qui est légalement habilité à accéder à ces données ou à contraindre le fournisseur à les divulguer. Un déploiement conforme aux exigences de résidence peut tout de même être exposé à des risques si le fournisseur est soumis à une législation étrangère.
Inuvika est-elle soumise à la loi américaine CLOUD Act ?
Inuvika est une entreprise basée au Canada qui n'est pas soumise à la juridiction américaine ; elle n'est donc pas concernée par le CLOUD Act. Dans le cadre des déploiements sur site, Inuvika OVD Enterprise ne collecte aucune donnée client.
En quoi les licences concurrentes permettent-elles de réduire les coûts liés à la virtualisation des postes de travail (VDI) dans le secteur public ?
Avec une licence par utilisateur simultané, on ne paie que pour le nombre maximal d’utilisateurs connectés en même temps, et non pour chaque utilisateur désigné. Dans les environnements du secteur public fonctionnant par roulement, de manière saisonnière ou à temps partiel, ce nombre peut ne représenter qu’une fraction de l’effectif désigné, ce qui est plus facile à justifier dans un budget public.

