Les projets de cloud de confiance franco-américains, comme S3NS (porté par Thales avec Google) et Bleu (lancé par Orange et Capgemini avec Microsoft), ne verront pas le jour avant le second semestre 2024. Mais les interrogations sur leur capacité à garantir une protection efficace contre des lois étrangères à portée extraterritoriale enflent. Le Cloud act est dans tous les esprits. Cette loi des États-Unis, votée en 2018, contraint tous les acteurs de l’internet et du cloud sous juridiction américaine à divulguer aux juges d’instruction les données qu’ils hébergent, même à l’étranger.
«Le dispositif vise normalement à lutter contre le grand banditisme, le crime organisé, le trafic de stupéfiants ou encore le terrorisme, rappelle Winston Maxwell, professeur de droit des technologies de l’information et de la communication à Telecom ParisTech. Mais dans le cas d’enquêtes visant des entreprises françaises pour criminalité financière, corruption ou contournement d’embargo américain, il pourrait se transformer en instrument d’espionnage et de pression économique déguisé en procédure judiciaire.»
Un bouclier contre le Cloud act, selon S3NS et Bleu
S3NS et Bleu présentent le paradoxe d’opérer et de commercialiser des solutions cloud américaines tout en revendiquant d’offrir un bouclier contre le Cloud act. Toutes les précautions semblent être prises à cet effet : une société de droit français, avec un capital à contrôle français, un personnel européen, des datacenters en France, rigoureusement séparés de ceux du partenaire américain, et un cryptage systématique des données avec des clés de chiffrement gérées uniquement par le porteur français du projet.
Le tout avec la certification SecNumCloud de l’Agence nationale de sécurité des systèmes d’information (Anssi), considérée comme le label de confiance par excellence avec le respect de pas moins de 270 critères techniques, organisationnels et juridiques. Seuls cinq acteurs français du cloud ont décroché ce précieux sésame : Oodrive, OVHcloud, 3DS Outscale, Cloud Temple et Worldline.
Inquiétudes sur une protection de bout en bout
Ceci n’empêche pas des professionnels du numérique d’émettre des doutes sur la capacité de ces coentreprises à garantir une protection de bout en bout. «Que se passera-t-il lors des opérations de mises à jour ou de maintenance?», interpelle David Chassan, le directeur de la stratégie de 3DS Outscale, filiale cloud de Dassault Systèmes. Thales admet la possible nécessité d’une assistance de Google pour ces opérations, mais assure que les interventions des agents de l’américain se feront sous le contrôle d’agents de S3NS.
Le Cloud act suscite beaucoup de fantasmes et donne lieu à toutes sortes d’interprétations. Selon Winston Maxwell, son application ne se limite pas aux hébergeurs américains de données. «Un juge d’instruction qui enquête sur une affaire de grand banditisme se fiche de la nationalité de l’hébergeur et de la localisation des données, analyse-t-il. Ce qui compte pour lui, c’est de disposer sous sa juridiction d’une personne ou d’une entité ayant “la possession, la garde ou le contrôle” des données hébergées, même si l’hébergement se trouve dans un cloud de confiance 100% européen. La solution pour échapper au Cloud act est donc d’éviter d’avoir aux États-Unis du personnel ou une entité ayant la garde ou le contrôle des données. C’est vrai pour l’hébergeur comme pour ses clients.»
Baisse du risque d’intrusion de puissances étrangères
Éric Le Quellenec, avocat associé du cabinet Simmons & Simmons, spécialiste du droit des nouvelles technologies, de l’informatique et de la communication, salue néanmoins S3NS et Bleu comme un grand progrès dans la protection contre le Cloud act. «Sur une échelle de risque de 0 à 10, nous attribuons une note de 7 à 8 pour les clouds publics traditionnels, comme ceux d’Amazon, de Microsoft et de Google, estime-t-il. Pour les clouds S3NS et Bleu, notre note est de 2. La protection à 100% n’existe pas. Mais S3NS et Bleu réduisent considérablement les risques d’intrusion de puissances étrangères.»
Le cloud de confiance vise les administrations, les collectivités locales, les opérateurs d’importance vitale et les entreprises de services essentiels. Il ne répond pas aux exigences d’applications ultrasensibles comme la défense, qui ont vocation à rester en interne ou dans un cloud privé. Les entreprises sont invitées à faire le tri dans leurs applications pour déterminer, en fonction du degré de sensibilité des données, les options les plus appropriées : cloud public, cloud de confiance, cloud privé ou stockage en interne.
Vous lisez un article de L'Usine Nouvelle 3713 - Décembre 2022
