Cloud : comment recréer la «confiance »

« Dans un monde en évolution rapide, avoir le bon partenaire fait une différence vitale ! ». C’est le slogan inscrit en tête de gondole du site Internet du cabinet d’avocat Greenberg Traurig. Classé 14e aux États-Unis, cette « firme » de taille mondiale emploie des experts de haut vol, ayant un accès direct aux cercles du pouvoir à Washington. Nul mieux qu’eux ont la capacité d’auditer efficacement la portée réelle des lois extraterritoriales américaines sur les données numériques sensibles détenues hors des États-Unis par des sociétés étrangères. Du reste, interrogés par le gouvernement néerlandais cet été, leurs conclusions – qui ont opportunément fuité – ont fait l’effet d’une petite bombe dans le microcosme de la cyber française, où les grands opérateurs du numérique ont annoncé le lancement au profit des multinationales et des administrations d’un « cloud de confiance » rassemblant le « meilleur des deux mondes ».

Pour le peu que l’on sait de leurs offres, elles semblaient répondre à un besoin urgent de ces grandes organisations : accéder à des infrastructures décentralisées aussi puissantes et performantes que les solutions développées par les GAFAM, mais à l’abri des dérives sécuritaires bien identifiées du système américain. Depuis 2018, le Cloud Act autorise la Justice des États-Unis à saisir des données numériques partout dans le monde, dès lors qu’un délit est constitué sur son sol. Selon les experts, le véritable danger américain provient surtout de la liberté que le Capitole a octroyé à ses grandes agences de renseignement, depuis l’adoption du Foreign Intelligence Surveillance Act (FISA) en 1978, renforcé par le Patriot Act en 2001, pour déployer leurs tentacules dans le cyberespace. Ils n’attendent d’ailleurs pas grand-chose du décret pris récemment par la Maison Blanche pour mieux encadrer le transfert des données entre l’Union européenne et les États-Unis.

Le mérite de la sentence des juristes américains, se félicite néanmoins l’avocat Maxime Molkhou, spécialiste de ces questions complexes, « est d’avoir dissipé le brouillard juridique dont s’accommodait finalement assez bien la communauté européenne : nous avons eu la confirmation que la localisation des centres de données et les engagements contractuels n’offrent aucune garantie à leurs propriétaires. À ce stade, seuls leur chiffrement et les audits des systèmes peuvent contribuer à les sécuriser. Mais, en définitive, pour les mettre à l’abri, le meilleur moyen est d’appliquer la stratégie consistant à distinguer les données non cruciales, que l’on peut stocker dans un cloud public, de celles valant d’être sanctuarisées dans des infrastructures privées et verrouillées à double tour ».

Après avoir échoué à susciter l’émergence d’un « Cloud souverain » auprès des attelages 100 % tricolores Bull-SFR et Thales-Orange, l’État français a lancé au printemps dernier le concept dégradé du « cloud de confiance ». Il désigne une infrastructure bâtie avec des briques technologiques qui peuvent être d’origine étrangère mais qui répondent, une fois assemblées, aux normes imposées par le label « SecNumCloud » de l’Anssi. Dans la foulée, les géants français du numérique se s’engouffrent dans cette voie. Orange et Capgemini, associés à Microsoft, lancent la société « Bleu », censée entrer en service en fin d’année. Le géant du numérique de défense, Thales, se rapproche de Google pour créer l’entité S3NS, dont la montée en puissance doit être terminée en 2024. Sa mission consistera à « apporter les garanties de souveraineté requises en France en assurant notamment la gestion des clés de chiffrement, des accès et des identités et la supervision cyber ». Quant à Atos, qui travaille depuis longtemps avec IBM et Amazon, la société a récemment confirmé son intention de construire une offre similaire en partenariat avec Amazon Web Services (AWS).

La souveraineté technologique est nécessairement partagée, se défend aujourd’hui Guillaume Poupard, le patron de l’Anssi. Car cette offensive a provoqué un tollé chez les opérateurs franco-français déjà certifiés par l’agence, comme 3DS Outscale (la filiale de Dassault Systèmes), Oodrive ou OVHcloud. Plutôt que de pousser les grands comptes à adopter ces infrastructures, ce qui aurait permis d’accélérer l’émergence de puissants standards européens, expliquent en substance leurs porte-parole, les pouvoirs publics ont cédé aux pressions des mastodontes du privé inféodés aux GAFAM. Des experts indépendants nuancent l’accusation : « C’est autant par obligation, par facilité et par défaut d’alternative que les infrastructures numériques de nos grandes organisations ont accumulé les couches de technologie américaine. Et maintenant, cela engendre un puissant effet de standardisation qu’il ne sert à rien d’ignorer, car leurs réseaux s’interconnectent naturellement avec les espaces cloud loués chez les GAFAM ». Une très bonne source concède : « Les grands opérateurs français auraient voulu torpiller l’initiative SecNumCloud qu’ils ne s’y seraient pas pris autrement. Mais ces derniers avaient-ils vraiment le choix ? Pour eux, l’alternative est de s’allier aux géants américains ou d’être rapidement et définitivement évincés de ce marché stratégique ».

« Après l’effet mouton de panurge des dix dernières années, c’est la fin de naïveté et le temps du désenchantement. Mais il faudra bien en sortir par le haut. Peut-être que ces solutions encapsulées représentent tout de même un pas en avant », confiait Alain Bouillé, Délégué général du CESIN au Forum International de la Cybersécurité (FIC) en juin dernier. Frédéric Malicki, porte-parole d’Atos, défend la pertinence de « l’approche graduée en fonction du degré de sensibilité des données ». Grâce à l’initiative européenne Gaia-X, « qui vise à construire un référentiel technologique européen commun », assure Julien Levrard, expert d’OVHcloud, « il deviendra bientôt possible comparer les différentes briques disponibles », ce qui permettra de répartir en toute connaissance de cause ses données soit dans un cloud public, soit dans un cloud privé, situé à distance, voire chez soi.

Actuellement, 90 % des données numériques sont conservées dans un cloud public appartenant à un pure player américain, selon des estimations convergentes. Or, un mouvement de fond, que les experts jugent « inéluctable », est engagé pour un rééquilibrage au profit des clouds privés. Aux États-Unis, l’opérateur Dropbox, par exemple, a annoncé son départ d’AWS et la création de son propre centre de stockage. La bonne nouvelle est qu’en France, « il existe un écosystème entier pour construire un véritable continuum de cloud et permettre aux entreprises de passer des uns aux autres sans accrocs », affirme Charles Schulz, responsable de la stratégie chez Vates. L’hébergeur OVHcloud a conclu un partenariat avec Sopra Steria pour proposer un cloud « souverain » destiné en particulier aux opérateurs d’importance vitale en Europe. Encore faut-il que ces pépites engrangent des commandes suffisantes pour enclencher un cercle vertueux, à l’instar de ce qui s’est passé au Japon, soulignent les experts. Et qu’en parallèle, les centres de formation des jeunes talents fassent évoluer leurs référentiels pour qu’ils soient opérationnels en sortie d’école sur n’importe quel type d’environnement et non sur les seuls outils américains, comme c’est le cas aujourd’hui.