Module 3.6

Replay & FAQ I Le webinaire et les réponses à vos questions

ESS

1. Google Workspace for Nonprofit garantit le respect RGPD, le stockage en Europe et le chiffrement global des données ? 

Google Workspace for Nonprofits peut être utilisé dans un cadre conforme au RGPD, à condition d’être correctement paramétré (contrat de sous‑traitance, analyse de risque, paramètres de sécurité). 

Il est possible de configurer le stockage de certaines données en Europe, mais cela ne couvre pas l’ensemble des données (métadonnées, journaux, traitements techniques pouvant rester globaux). 

Les données sont chiffrées en transit et au repos, toutefois Google restant une entreprise américaine, le service n’est pas totalement à l’abri des lois extraterritoriales (ex. Cloud Act). 

En résumé : solution conforme au RGPD, mais pas une garantie de souveraineté complète. 

2. Notre ONG est passé sur un Google Work Space, avec tous nos dossiers partagés sur Drive. Quels seraient les principaux points d’attention pour veiller à la sécurité et souveraineté ? 

Pour sécuriser votre environnement Google Work Space, commencez déjà par bien suivre les 3 premières recommandations partagées pendant le webinaire, qui sont essentiels  

. Protégez vos accès et mettez en place l’authentification multi-facteur si ce n’est pas déjà le cas (pour tous les comptes, admins et utilisateurs standards) mettez en place vos groupes d’utilisateurs (voire groupes de sécurité pour les accès plus sensibles), mettez en place la protection de votre messagerie (SPF, DMARK…) 

. Diffusez à tous les utilisateurs des consignes de bon usage des partages (une charte d’utilisation !), notamment avec des personnes externes à votre ONG. Mettez en place des revues des partages, notamment pour vos données les plus sensibles. 

      . Sensibilisez vos utilisateurs aux risques numériques, aidez-les à lutter contre le phishing.   

        N’hésitez pas à aller voir les modules ESS de Cyberforgood et notamment le module #1 qui vous apporte de nombreux conseils pratiques : https://cyberforgood.org/fr/modules/ess/ 

        3. La souveraineté s’envisage à l’échelle européenne : je me demandais si cela incluait des pays hors UE, comme la Suisse (cf. Infomaniak) ? 

        La souveraineté numérique, telle qu’elle est pensée au niveau européen, s’inscrit d’abord dans le cadre juridique de l’Union européenne. Elle repose sur le droit de l’UE (RGPD, NIS 2, DORA, IA Act) et sur la capacité à se prémunir des lois extraterritoriales. 
        Des pays hors UE comme la Suisse offrent un cadre très protecteur et pertinent pour certains usages, mais ils ne relèvent pas du cadre juridique européen. 
        Ils peuvent donc constituer une alternative de confiance, sans pour autant répondre strictement à une logique de souveraineté européenne au sens réglementaire. 

        4. Que je sache 90% de l’informatique individuelle passe par Windows, un des outils les plus opaque en matière de confidentialité. Est-ce qu’on la part de risque ou d’exposition des différents outils ? 

        Microsoft a une position dominante sur le marché, non seulement sur les services en ligne, mais aussi sur les systèmes d’exploitation.  

        • Apple présente une situation différente de Windows (pour un coût potentiellement plus élevé, mais c’est un autre débat), mais ne vous donne pas pour autant toutes les garanties que vous pourriez attendre.  
        • Basculer sur Linux, comme l’a fait depuis longtemps la Gendarmerie Française, peut être une solution pertinente. C’est aussi un projet ambitieux dont il convient de bien comprendre les conséquences (formation des utilisateurs et des équipes du SI, incompatibilité possible avec certaines applications, nouveaux outils pour la gestion du parc, etc.). 

        Bref, basculer de système d’exploitation n’est pas trivial et doit être aligné sur votre stratégie globale. 

        Si vous avez déjà un parc de Windows, je vous encourage à nettoyer les configurations lors de l’installation des postes pour supprimer les composants inutiles voire un peu trop indiscrets (“debloating”). Cela a le mérite supplémentaire de rendre les PC plus performants.  Il existe de nombreux outils pour le faire, par exemple : github.com/Raphire/Win11Debloat.  A utiliser cependant avec précautions pour ne pas supprimer de composant nécessaire au système. Commencez par tester sur un PC dédié et ajustez petit à petit. 

        5. Auriez-vous un avis sur les questions de l’interopérabilité des outils open source et de leur efficacité ? Ex : recherche Google vers un moteur type lilo ou Mozilla. 

        Les outils open source et alternatifs présentent aujourd’hui un bon niveau d’interopérabilité et une efficacité réelle pour de nombreux usages courants, mais avec des limites à connaître. 

        Sur la recherche, des moteurs comme Lilo, DuckDuckGo ou Startpage offrent des résultats pertinents pour un usage quotidien, mais sans la même profondeur, personnalisation ou intégration fonctionnelle que Google (cartes, services, écosystème). 

        L’enjeu n’est donc pas de remplacer systématiquement Google, mais de diversifier les usages : moteurs alternatifs pour les recherches génériques, outils dominants pour les besoins avancés. 

        L’open source est aujourd’hui suffisamment mature, à condition d’accepter un compromis éclairé entre confort, efficacité et maîtrise des données. 

        6. On est bloqué pour accéder à certains sites si on n’utilise pas Chrome, par exemple. Comment faire ? 

        Chrome n’est normalement pas un prérequis pour accéder à certains sites, y compris des fonctionnalités de Google, même si l’expérience utilisateur peut être meilleure. Peut-être s’agit-il de règles mises en place par vos équipes SI qui privilégient un navigateur plutôt qu’un autre ? 

        7. Firefox semble être pourtant une référence, pouvez-vous développer ses limites ? 

        Mozilla Firefox est un navigateur intéressant notamment pour éviter les navigateurs des GAFAM comme Google Chrome ou Microsoft Edge. 

        Cependant, Mozilla, l’éditeur de Firefox n’est pas toujours très clair dans ses projets et ses partenariats (par exemple avec Google pour le moteur de recherche, leur souhait de forcer la transformation en navigateur IA …). Cela ne veut pas dire que le navigateur est mauvais, mais il convient d’être attentifs et de conserver son droit de regard sur les conditions qui vous sont imposées. 

        8. Quel est votre avis sur Duck Duck Go ou Opera ? 

        Duck Duck Go a une politique très ouverte sur leur volonté de ne pas exploiter vos données. Jusqu’à preuve du contraire, leurs services sont donc plus respectueux de votre vie privée que ceux de Google ou Microsoft par exemple. Le moteur de recherche de Duck Duck Go est différent de celui de Google cela étant, il faut tester. 

        Quant à Opéra, son appartenance à la société Chinois Kunlun Tech Co Ltd est un argument à avoir en tête vis à vis de l’aspect souveraineté. 

        9. Il semble que cela ait changé récemment, Whatsapp est à présent chiffré de bout en bout. C’est vrai ? 

        Le sujet est incertain. Meta annonce un chiffrement bout en bout depuis des années, mais diverses affaires en cours indiquent l’inverse. Qu’en est-il ? Quelle confiance accorder à Meta sur ce sujet. Et même si c’est le cas, est-ce pérenne (Meta vient d’annoncer la fin du chiffrement des messages sur Instagram par exemple). 

        10. Que signifie extraterritorialité dans le droit américain ? 

        Dans le droit américain, l’extraterritorialité signifie que certaines lois des États‑Unis peuvent s’appliquer en dehors de leur territoire, dès lors qu’une entreprise ou une organisation relève de la juridiction américaine. 

        Concrètement, ce n’est pas le lieu où se trouvent les données qui est déterminant, mais le lien juridique avec les États‑Unis (entreprise américaine, filiale, contrôle ou pouvoir d’accès). 

        Cela permet aux autorités américaines d’imposer des obligations légales y compris pour des données hébergées hors des États‑Unis. 

        11. Nous avons un fichier Excel qui répertorie tous les mots de passe des comptes entreprises et des comptes des salariés, est ce safe ? Il y a-t-il une meilleure solution ?  

        Ce n’est en effet pas une bonne idée, car Excel ne protège pas les fichiers nativement. Si le fichier était découvert et lu par des personnes mal intentionnées (suite à un vol, ou une erreur de partage, ou bien un piratage), vous pourriez perdre tous vos accès et toutes vos données ainsi que corrompre vos identités. 

        Plusieurs recommandations : 

        Ne centralisez pas les mots de passe de vos employés. Ces mots de passe doivent rester secrets et personnels, connus uniquement des employés. Mettez plutôt en place des moyens de recouvrement avec une infrastructure centrale de gestion. Ce genre d’infrastructure est proposée par défaut chez Google ou chez Microsoft (EntraID) par exemple. 

          Grace à une telle infrastructure, vous pouvez aussi fédérer vos accès, c’est à dire utiliser votre identité Google pour vous authentifier sur Canva par exemple. Intérêts : si un collaborateur quitte votre structure, vous coupez ses accès immédiatement ; et par ailleurs, si un utilisateur perd son mot de passe, il peut le recouvrir à un seul endroit. 

            Si vraiment vous devez conserver des mots de passe, utilisez un gestionnaire de mots de passe comme Keypass (en local) ou Bitwarden (en local ou en cloud). 

            12. Est-ce que vous avez des recommandations de coffres-fort de mots de passe partagés ? 

            Vous pouvez trouver plus d’informations sur ce sujet ici : Replay & FAQ I Le webinaire et les réponses à vos questions – Cyber for Good 

            Ce module a été rédigé par Tristan Savalle, RSSI d’Advens et Aurélia Delfosse, responsable de l'offre Conformité d'Advens.