EDF réagit face à la polémique. Lors de la présentation de ses résultats annuels le 16 février, le PDG, Luc Rémont, est revenu sur le choix par son entreprise d’AWS, le bras armé d’Amazon dans le cloud, pour la partie gestion de son système d’information. Ce choix a provoqué une polémique dans les médias en raison du statut particulier de l’électricien, celui d’opérateur d’importance vitale (OIV).
«Je voudrais déjà ramener le sujet à sa juste proportion, a expliqué le PDG. Nous n’avons pas confié toutes nos données à Amazon. Nous faisons un test avec Amazon sur un certain nombre d’applications comme n’importe quelle entreprise le ferait. Nos données confidentielles sur les centrales nucléaires ne seront pas sur le cloud. Elles restent dans des bases protégées et ne sont évidemment pas partagées.»
Souci particulier de la cybersécurité
L’application envisagée sur le cloud AWS est la gestion grâce à l’intelligence artificielle des pièces détachées pour optimiser la maintenance prédictive des centrales nucléaires. Mais pourquoi avoir choisi AWS, un fournisseur soumis à l’extraterritorialité des lois américaines Cloud Act et FISA, et non un cloud français comme OVHcloud ou Outscale, qui offre une immunité à l’intrusion de puissances étrangères? «Nous avons déployé un test avec Amazon, grand expert du cloud mais également de la logistique pour nous aider à optimiser la gestion de nos pièces de rechange, justifie-t-il. Elles sont un des éléments qui font la performance opérationnelle de la maintenance du parc nucléaire. C’est l’objectif que nous poursuivons avec un souci tout à fait particulier de la cybersécurité et de la confidentialité de nos données.»
Les OIV, comme les administrations, les établissements de santé, les banques-assurances ou encore les entreprises de services essentiels, sont contraints à des règles draconiennes de cybersécurité, qui limitent le recours à des cloud publics étrangers comme AWS. La circulaire de la Première ministre du 31 mai 2023 leur impose le recours à un cloud de confiance, certifié SecNumCloud 3.2 par l’Agence nationale de sécurité des systèmes d’information. Mais cette obligation ne vaut que pour les données dites sensibles. Les explications du patron d’EDF laissent à penser que les données que l’électricien compte mettre chez AWS ne relèvent pas de cette catégorie.
Attente d'un cloud souverain
Le PDG d’EDF ne dit pas pourquoi ne pas avoir retenu OVHcloud, qui dispose pourtant de services d’intelligence artificielle comparables à ceux d’AWS. S’agit-il d’une question de fonctionnalité, de performances, de coûts ou d’expertise ? Pas de réponse. Et qu'en-est-il des applications soumises aux contraintes de souveraineté ? «Lorsqu’un cloud souverain sera opérationnel, il y aura d’autres applications qui migreront vers le cloud souverain», promet-il. Or ce cloud de confiance existe d’ores et déjà chez OVHcloud et Outscale, qui ont décroché le sésame SecNumCloud 3.2, le premier pour une offre de cloud privé, le second pour une offre de cloud public.
Ridha Loukil, avec Aurélie Barbaux
