A peine née, S3NS, la coentreprise de cloud de confiance de Thales et Google, se trouve sous le feu des critiques. Dans une question écrite adressée au gouvernement, le député de la majorité présidentielle Philippe Latombe interpelle Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, sur les risques que poserait cette société en matière de souveraineté et de protection des données personnelles.
La société S3NS a été lancée officiellement le 30 juin 2022, le jour où Google inaugurait sa première « région », constitué de trois datacenters dans la région parisienne, en France. Son offre de cloud de confiance, certifiée par l’Anssi (agence nationale de sécurité des systèmes d’information) et s’appuyant sur ses propres datacenters, ne sera disponible qu’au deuxième semestre 2024. En attendant, elle propose une offre transitoire, qui n’est rien d’autre que l’offre de Google enrichie de la solution de sécurité de Thales mais tournant sur les datacenters de Google en France. C’est la communication sur cette offre, annoncée comme une trajectoire vers le cloud de confiance, qui irrite Philippe Latombe.
Démarche commerciale trompeuse
Le député pointe une démarche commerciale trompeuse, visant à capter des clients alors que l’offre de cloud de confiance de S3NS n’existe pas encore et reste à ce stade hypothétique et incertaine. Sur son site internet officiel, S3NS se présente comme "Le Cloud. De confiance. Pour la France". Une formulation qui "risque d'induire les acheteurs en erreur sur le caractère exclusif de cette offre eu égard au label cloud de confiance annoncé par le gouvernement dans le cadre de sa stratégie nationale pour le cloud, annoncée le 17 mai 2021", selon Philippe Latombe. Pour se protéger, S3NS joue exprès sur la ponctuation.
Le parlementaire dénonce l’opacité de la communication de Thales et Google, qui ne dévoilent pas la répartition du capital de leur coentreprise. Quant à Google, il se garde bien de préciser la localisation et l’hébergeur de ses trois datacenters en France. Philippe Latombe croit savoir que ces datacenters sont des espaces loués à des hébergeurs américains, " ce qui pose la question de la réelle transparence de Google quant à l'architecture technique projetée ".
Question des backdoors
"D'un point de vue juridique, est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ? ", qui donne au gouvernement américain accès aux données gérées par les entreprises américaines, y compris en dehors des Etats-Unis, s’interroge le député. "Quelles garanties sont données par Thales sur sa réelle capacité à auditer le code source qui sera fourni par Google ? " Et "Quelle protection contre les backdoors pour éviter que les services américains ne bénéficient d'un accès détourné aux données hébergées ? ", enchaine-t-il. Les backdoors sont des portes dérobées dissimulées dans le logiciel pour offrir à une partie tierce un accès détourné aux données.
C’est pourquoi il a adressé, le 4 juillet, une lettre à l’Anssi et à la Cnil leur demandant une analyse approfondie des risques de ce "Le Cloud. De confiance. Pour la France" qu’il juge, en l’état, justement peu digne de confiance. Contacté par L'Usine Nouvelle, Thales précise que S3NS, une société par actions simplifiées, est encore en constitution et qu'elle sera majoritairement détenue et entièrement contrôlée par Thales. Google en détiendra une part inférieure à 10 % et siègera à son conseil d'administration en tant que simple observateur, sans droit de vote. Le groupe français indique aussi se donner la possibilité d'auditer le code, sans aucune restriction de Google. Enfin, il souligne que le cloud de confiance de S3NS est différent du cloud de défense et qu'il se destine à des opérateurs d'importance vitale, banques ou entreprises de services essentiels.
