A minima, la symbolique est discutable. Alors que le gouvernement ne cesse d’appeler à la souveraineté numérique, c’est sur le cloud de l’américain Amazon que la banque publique d’investissement Bpifrance a décidé d’héberger la plate-forme délivrant des attestations aux entreprises qui souhaitaient contracter un prêt garanti par l’Etat (PGE), un soutien exceptionnel lié à la crise du Covid. Mais au-delà du message contradictoire que ce choix renvoie, comporte-t-il de réels risques ?
Sans aucun doute, répond Nathalie Goulet, sénatrice UDI qui a alerté la presse, le 5 février, du danger des partenariats entre Bpifrance et le géant américain du numérique. "Les données liées au PGE sont des données financières d’entreprises en difficulté, s’est-elle inquiétée. Or parmi ces entreprises, il y a des pépites intellectuelles, dont certaine détiennent des technologies de très haute valeur ajoutée." Autrement dit : en choisissant un cloud américain, Bpifrance aurait donné au géant Amazon des informations confidentielles, utilisables pour faire des achats ou des profits en revendant les données.
Identification, chiffre d’affaires et montants accordés
Interrogé sur le sujet, Bpifrance a clarifié auprès de L’Usine Nouvelle quelles données étaient hébergées sur la plateforme des PGE. En l’occurrence, elles ne contiennent pas l’ensemble des données financières des entreprises, les prêts restant délivrés par les banques de réseau. La plate-forme sert à fournir à chaque entreprise une attestation de garantie et s’assure qu’elle ne puisse récupérer auprès du réseau bancaire plus que le plafond autorisé du PGE (un trimestre de chiffre d’affaires de 2019). Pour ce faire, la banque publique a récupéré les données d’identification de l’entreprise, son chiffre d’affaires et aussi les montants du PGE pré-accordé par la banque, ou les banques en cas de pool bancaire.
En revanche, elle a collecté et hébergé sur le cloud d’Amazon des données plus complètes d’entreprises pour les prêts Rebond (ses propres crédits d’urgence de 10 000 à 50 000 euros à destination de TPE-PME), comme elle le fait pour d’autres produits. La banque publique revendique une stratégie de multi-hébergeurs et travaille pour le stockage et les services avec AWS, OVH et Oracle. Une partie des données des entreprises concernées a sans doute aussi atterri sur le cloud de Microsoft, car les prêts Rebond version 100 % digital ont été gérés en partenariat avec la fintech Younited credit, qui travaille, elle, avec le cloud Azur de Microsoft.
Données chiffrées, mais qui a la clé ?
Au-delà de sa stratégie générale en matière d’hébergement, Bpifrance a aussi précisé à L’Usine Nouvelle que la plate-forme des PGE a été contrôlée par l’Agence nationale de la sécurité des systèmes d’information : "l’ANSSI a fait l’audit de la plate-forme et a validé son niveau de sécurité". La banque publique se veut rassurante, expliquant aussi que "les données sont chiffrées par une clé privée que nous sommes les seuls à posséder".
Un argument peu crédible pour Bernard Benghamou, le secrétaire général de l'Institut de la souveraineté numérique – une association loi 1901 qui défend cette souveraineté à l’échelle européenne. "Le même argument nous avait été donné dans le cas de l‘hébergement du Health Data Hub [base des données de santé créée récemment], confié par le gouvernement à Microsoft, a-t-il rappelé aux côtés de Nathalie Goulet lors de sa conférence de presse. Or la Cnil [Commission nationale de l’informatique et des libertés] a démontré par la suite qu’en réalité, Microsoft a accès à la clé de chiffrement des données pour des raisons de maintenance. J’ai du mal à croire que ce ne soit pas la même chose pour Amazon."
À lire aussi
Sollicitée pour savoir si elle a engagé une enquête sur la possession de la clé de chiffrement des données liées aux PGE, la Cnil a déclaré "ne pas avoir été saisie sur des textes encadrant les traitements mis en œuvre par Bpifrance".
Cambridge Analytica et révélations Snowden
L’inquiétude autour de cet hébergement n’est pas seulement liée au fait qu’il concerne Amazon, régulièrement critiqué pour des pratiques d’abus de position dominante, allant du déréférencement sans préavis des revendeurs de sa plate-forme de vente en ligne au détournement de leurs fournisseurs pour les court-circuiter. Elle renvoie aussi au fait que ce soit un acteur américain, soumis au Cloud act.
Cette loi fédérale, adoptée par le gouvernement américain en 2018, autorise les forces de l’ordre et les agences de renseignement à récupérer auprès des opérateurs télécoms et fournisseurs de services cloud des informations stockées sur leurs serveurs, qu’ils soient situés aux États-Unis ou à l’étranger. Sans oublier le risque d’espionnage industriel. "Le pillage des données, c’est déjà arrivé !", s’est exclamée Nathalie Goulet. On pense au scandale Cambridge Analytica, cette entreprise proche de Donald Trump qui a siphonné les données de millions d’utilisateurs de Facebook. Mais aussi aux révélations d’Edouard Snowden sur les pratiques de la NSA, qui ont notamment mis en lumière la manière dont les services américains et britanniques ont piraté les liaisons entre des centres de données Google et des entreprises, pour collecter plus de données.
Urgence et qualité de services
"L’ingérence de gouvernements dans des infrastructures numériques critiques, ça s’est déjà produit, a souligné Bernard Benghamou. La coupure, ce n’est pas de la science-fiction. Pendant la guerre d’Irak, les racines irakiennes de noms de domaine ont été coupées pour empêcher l’accès du pays à certains sites. Quand on a le doigt sur un bouton très puissant, comme l’ont les Etats-Unis avec le Cloud act, c’est très dur de ne pas appuyer dessus."
Autrement dit, à chaque acteur français de faire des choix les moins risqués possibles. "Le débat qui nous occupe n’aurait pas dû être possible, a-t-il argué. Il existe forcément des entreprises françaises ou européennes capables de gérer 630 000 données. On fait appel à des entreprises souveraines pour d’autres projets plus volumineux. Le seul argument que Bpifrance nous a opposé, c’est l’urgence."
Un argument effectivement réitéré par Bpifrance auprès de L’Usine Nouvelle, mais pas le seul. La banque d’investissement assure que, sur l’ensemble de ses partenaires référencés, "seul AWS s’est montré capable de fournir les services indispensables de déploiement en ligne des attestations de garanties de PGE avec une plate-forme opérationnelle en moins de 5 jours, 24 h/24 et 7 jours sur 7". Ce n’est donc pas seulement pour sa réactivité qu’AWS a été choisi, mais aussi pour sa capacité de services. La banque publique fait le constat que "seuls des acteurs américains sont aujourd’hui en capacité d’offrir des réponses techniques à la fois robustes sur l’infrastructure et agiles sur le plan des services". Plus que la menace d’un éventuel piratage de données, c’est sans doute cette situation, bien réelle, qui est la plus inquiétante.
