45 % des entreprises réglementées gardent leurs courriels chez un prestataire installé hors d'Europe. Plus de la moitié redoutent une exposition à des lois étrangères. Pourtant, 80 % disent maîtriser leurs flux.
L'institut Researchscape a mené l'enquête pour Retarus, un éditeur allemand de solutions de messagerie sécurisée. Il a consulté des banques, des hôpitaux et des administrations en France, en Allemagne et en Espagne. Et visiblement, beaucoup confondent fonctionnement et maîtrise. Tant que les messages circulent et qu'il n'y a quasiment aucun incident grave, on juge le système sous contrôle. Mais le bon acheminement d'un e-mail ne dit pourtant pas sous quelle loi tombent les données qu'il contient et transporte. En France, 56 % des organisations passent par des prestataires non européens. Et moins d'une sur deux peut migrer un compte sans dépendre de ce prestataire.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Avec NIS2, le dirigeant ne peut plus se cacher derrière sa DSI
Avec la directive NIS2, un dirigeant engage sa propre responsabilité, et plus seulement celle de sa société. Auparavant, une entreprise déclarée négligente se voyait infliger « simple »une amende. Le Sénat a examiné en 2025 le projet de loi qui transpose le texte en France, et étend l'obligation à 15 000 entités.
L'article 20 de la directive oblige les organes de direction à approuver eux-mêmes les mesures de cybersécurité, puis à suivre une formation. Le dirigeant n'est pas épargné, puisque les autorités peuvent l'écarter de ses fonctions et engager sa responsabilité pour manquement à la sécurité des systèmes.
Son patrimoine personnel échappe toutefois à l'amende. L'entreprise paie cette amende, qui atteint jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires mondial. Prenons une PME à 5 millions d'euros de revenus. Une telle amende dépasserait son chiffre d'affaires annuel.
Il doit en plus tenir compte de délais d'action très très serrés. Après détection d'un incident, son entreprise dispose de 24 heures pour envoyer une première alerte aux autorités. Il suffit d'un simple retard et c'est la sanction, même en cas d'attaque bénigne. Il faut donc une astreinte permanente, week-ends compris. Mais quand on sait que moins d'une organisation française sur deux gère ses comptes sans son prestataire qui se trouve dans un autre fuseau horaire, on prend toute la mesure de l'adage selon lequel « le temps, c'est de l'argent ».
Le Cloud Act et la réalité des demandes américaines
Beaucoup croient encore qu'héberger ses données en Europe suffit à les protéger. C'est une erreur, démontrée dans un rapport allemand l'an dernier. En vigueur depuis le 23 mars 2018, le Cloud Act contraint des fournisseurs comme Google, Microsoft et Amazon à transférer des données aux autorités américaines, même stockées en Europe. Peu importe donc l'endroit où se trouvent les serveurs. Et une entreprise européenne peut elle aussi y être soumise, dès lors qu'elle vend des services aux États-Unis.
Au premier semestre 2025, Google a reçu 28 622 demandes de données du gouvernement américain, en hausse de 15 %. Une partie de ces demandes passe par un juge. Les autres, les subpoenas administratifs, partent d'une agence fédérale sans aucun contrôle judiciaire. Le contenu des messages reste fermé à ce type de demande. L'agence récupère malgré tout les métadonnées du compte, heures et lieux de connexion, adresses IP, appareils, courriels associés.
Un responsable qui n'invoque que le RGPD surestime sa protection. Le règlement interdit en principe d'envoyer des données personnelles hors d'Europe. Mais une entreprise américaine, prise entre cette règle et le Cloud Act, obéit à sa loi nationale. Une clause de contrat peut donc garantir un stockage en Europe sans rien régler. Le lieu de stockage compte moins que l'identité de celui qui peut légalement réclamer les données.
92 % des organisations interrogées jugent un reporting complet essentiel, et une majorité a dû fournir ou auditer ces données trois à cinq fois dans l'année. L'affichage d'un compteur global, comme le volume d'e-mails envoyés, ne coûte rien. La reconstitution du trajet d'un message précis prend en revanche beaucoup plus de temps, car ce message a traversé un empilement de systèmes, du cloud jusqu'aux outils de sécurité, gérés par des prestataires différents. Pour répondre à l'auditeur, les équipes fouillent chaque couche l'une après l'autre, sous la pression du délai. C'est ce jour-là qu'une entreprise découvre ce qu'elle contrôle vraiment.
Source : Undernews
💬 À la rencontre de la tech
Au-delà des actualités et des tests, nous avons discuté avec les leaders de la Silicon Valley et les startups en pleine croissance à travers le monde pour mieux comprendre leurs enjeux, leurs visions et leurs valeurs. Découvrez comment ces acteurs clés façonnent l’avenir des technologies.
