EDSO — European Digital Sovereignty Standard

Domaine · D2

Transparence opérationnelle et contrôle des données

Qui dispose d'un accès opérationnel aux données et aux clés — et comment cela est-il démontrable ?"

1. Importance stratégique§

La transparence opérationnelle et le contrôle des données décident, au quotidien, si le client est effectivement souverain de ses données ou seulement leur propriétaire formel. Ce domaine évalue la contrôlabilité démontrable des leviers opérationnels centraux.

Ce qui compte n'est pas l'assurance du fournisseur mais la séparation démontrable, par voie cryptographique ou organisationnelle, entre données, clés et accès privilégiés. La confiance sans démonstration ne compte pas dans ce domaine.

D2 est le domaine où le marketing de souveraineté s'écarte le plus du contrôle réel. Il exige des preuves techniques et procédurales solides.

2. Critères essentiels§

  • Modèle de gestion des clés

    Classification claire en provider-managed keys, BYOK ou HYOK — avec description des opérations possibles sans intervention du client.

  • Résidence des données et sites de réplication

    Liste complète des sites primaires, secondaires et de sauvegarde ; restrictions contractuelles assurées.

  • Gestion des accès privilégiés côté fournisseur

    Qui, chez le fournisseur, peut accéder aux données du client et à quelles conditions ? Principe des quatre yeux, accès juste-à-temps, procédures break-glass.

  • Intégrité des journaux et résistance à la falsification

    Les journaux d'accès doivent être consultables par le client, complets et infalsifiables (p. ex. append-only, chaînes de hachage, notarisation externe).

  • Transparence de la réponse aux incidents

    Délais de notification définis, niveau de détail défini, obligation contractuelle de divulguer les incidents internes au fournisseur qui touchent aux données client.

  • Preuves d'accès

    Preuve de qui a accédé à quelles données ou clés et à quel moment — y compris par le fournisseur lui-même et par les sous-traitants.

3. Questions d'audit (extrait)§

  1. Quel modèle de gestion des clés est contractuellement convenu, et quelles opérations sont possibles sans intervention du client ?
  2. Localisation des données et cibles de réplication peuvent-elles être contractuellement limitées à l'UE ?
  3. Quels groupes au sein du fournisseur disposent d'un accès en lecture ou en écriture, et à quelles conditions ?
  4. Le journal d'accès est-il consultable par le client de façon complète, infalsifiable et en quasi-temps réel ?
  5. Quels délais de notification s'appliquent aux événements de sécurité et aux incidents d'accès internes au fournisseur ?
  6. Comment garantit-on que le fournisseur ne peut pas déchiffrer de contenus sans les clés du client ?
  7. Quelles procédures existent pour les accès break-glass — et comment sont-elles journalisées ?

Preuves acceptées§

  • Documentation d'architecture technique de la gestion des clés (HYOK/BYOK)
  • Extraits de journaux PAM et preuves de configuration
  • Architecture de journal append-only ou notarisation externe
  • Clauses contractuelles de résidence des données et restrictions de réplication
  • Rapports d'audit d'auditeurs indépendants sur les procédures d'accès (p. ex. ISAE 3000)

5. Seuils de niveau dans ce domaine§

NiveauExigence minimale en D2
L0Modèle de clés et d'accès non transparent ; pas de consultation des journaux pour le client.
L1Documentation complète de tous les chemins d'accès et rôles de clés ; accès aux journaux en lecture pour le client.
L2Le client détient la maîtrise des clés (HYOK ou équivalent), peut révoquer les accès et imposer la localisation.
L3Accès du fournisseur aux contenus techniquement exclu ; preuves d'accès notarisées en externe ; opération entièrement UE.

6. Articulation avec les standards existants§

StandardCe qui est couvertOù EDSO va plus loin
ISO/IEC 27001Contrôle d'accès (Annexe A.5.15 et s.) couvertMaîtrise des clés vis-à-vis du fournisseur non exigée
SOC 2 Type IIContrôles opérationnels largement documentésSouveraineté vis-à-vis du fournisseur hors périmètre d'audit
TISAXContrôle des données partiellement (notamment prototypes)Maîtrise des clés et accès fournisseur non audités systématiquement
BSI C5Contrôles opérationnels détaillésSéparation structurelle fournisseur/client uniquement indirecte

7. Constats d'audit typiques§

  • Désignation BYOK malgré la capacité continue du fournisseur à déchiffrer pour les fonctions opérationnelles
  • Réplication vers une région de sauvegarde hors UE non exclue contractuellement
  • Procédures break-glass sans journalisation traçable
  • Journaux d'audit uniquement rétrospectifs et via le portail fournisseur — sans résistance à la falsification
  • Comptes fournisseur privilégiés sans principe des quatre yeux

8. Renvois§