Peut-on confier ses données sensibles aux prestataires américains ?

La souveraineté numérique des organisations et des entreprises européennes est un enjeu important. Les « hyperscalers Cloud » que sont Amazon, Microsoft, et Google figurent sur le podium des fournisseurs de services Cloud aux professionnels. Ils garantissent la confidentialité des données. Qu’en est-il ?

De très nombreuses entreprises françaises utilisent les services Cloud d’Amazon Web Services (AWS), de Microsoft Azure ou encore de Google Cloud Platform. À eux trois, ils dominent le marché mondial du Cloud, avec 65 % de part du marché. Le Cloud Act (2018) et le Patriot Act (2001) imposent quant à eux à toutes les entreprises américaines, y compris aux Hyperscalers*, de fournir les « données sensibles » demandées par l’administration fédérale, même si celles-ci sont stockées en Europe.

Cela concerne les données industrielles, économiques, de recherche technologique et autres. Les révélations en 2013 d’Edward Snowden, ancien de la NSA, l’agence de surveillance américaine, ont semé le doute sur la souveraineté des données européennes confiées aux opérateurs de Cloud américains, et ont montré qu’il s’agissait d’interrogations légitimes.
Christine Grassi

En 2022, le ministère de la Justice et de la Sécurité des Pays-Bas a ainsi commandé une étude à un cabinet d’avocats américain au sujet du Cloud Act, qui valide la possibilité de collecte de données à l’étranger, au nom de la protection des États-Unis.

La réponse d’Amazon à GPO Magazine sur la confidentialité absolue des données des clients sur AWS est la suivante : « Le rapport semestriel sur les demandes d’informations d’Amazon fournit des éléments sur les types et le nombre de demandes d’informations traitées par Amazon. Depuis le second semestre 2020, date à laquelle nous avons commencé à établir un rapport spécifique sur cette mesure, nous n’avons divulgué au gouvernement américain aucune donnée de contenu d’entreprise ou de gouvernement située en dehors des États-Unis ».

Intéressant, alors même que notre plus grosse licorne française Doctolib (capitalisation boursière de plus de 1 Milliard d’euros) utilise AWS pour héberger un partie des données de santé de millions de personnes. Et ce n’est pas la seule entreprise hexagonale à confier ses données à AWS.

Les 3 options pour mettre les données critiques à l’abri des oreilles indiscrètes

« La première option est la mise en place de solutions de chiffrement souverain et de surveillance de l’infrastructure Cloud. Il s’agit, notamment, de l’annonce par Amazon lors de l’événement re:Invent 2022, du service XKS (External Key Store) pour l’hébergement des clés de chiffrement dans un HSM** situé hors de l’environnement AWS, et géré exclusivement par le client », indique Christine Grassi, consultante senior et référente offre sécurité AWS chez Devoteam Revolve. Selon AWS, cette solution garantirait ainsi la souveraineté des données sensibles.
Paul Olivier Gibert

Paul-Olivier Gibert, président de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) voit la possibilité de chiffrement par les entreprises comme une avancée significative mais avec des réserves « C’est le problème du bouclier et de l’épée, rien ne garantit que la méthode de chiffrement suivra les évolutions dans ce domaine et garantira la confidentialité des données dans le temps. Cependant, cette mesure reste une protection des informations en cas d’attaque par des pirates numériques ». L’AFCDP, qui se préoccupe du respect des normes européennes de protection telles le RGPD par les Hyperscalers, conclut en indiquant que « dans tous les cas, il n‘est jamais bon de dépendre de technologies majeures ».

« La deuxième solution s’appuie sur l’usage d’un Cloud de confiance reposant sur un partenariat entre des fournisseurs de Cloud américain et français », indique Christine Grassi.

Thales a annoncé, à l’été 2022, la création d’une nouvelle entreprise, baptisée S3NS, en partenariat avec Google, pour offrir aux entreprises publiques et privées françaises des services d’informatique dématérialisés (Cloud) approuvés par l’État.

Les partenariats, tels S3NS (entre Thales et Google) ou encore Bleu (entre Orange, Capgemini et Microsoft), qui se nouent entre les grandes entreprises françaises et les Hyperscalers que sont Amazon, Google et Microsoft sont ainsi une autre possibilité pour les entreprises, mais ils posent des questions comme le précise Christine Grassi : « Je ne suis pas convaincue que ces type de partenariats puissent être mis en place de la façon dont ils ont été annoncés publiquement. Par exemple, si le fournisseur américain met en service une nouvelle fonction, comment le partenaire français ou européen peut-il garantir de façon sûre le niveau de sécurité de type « Cloud souverain » (avec à la clé la certification de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information) dans un délai commercial acceptable (comme par exemple une semaine dans le cadre de certaines annonces publiques) ? ».

Une autre voie consisterait à attendre l’aboutissement du projet européen de Cloud souverain GAIA-X. Mais ce premier pas vers une infrastructure européenne du Cloud paraît mal engagé à ce jour. « Une troisième solution serait GAIA-X. Mais le processus de construction d’un espace de service de taille européenne pour y parvenir est très long. Très peu de solutions opérationnelles existent actuellement », complète Christine Grassi.

Pour l’heure, AWS et les autres Hyperscalers gardent donc une longueur d’avance sur leurs concurrents européens, en proposant non seulement les VM (machines virtuelles) comme tout prestataire de Cloud, mais aussi la gestion des Identités et des Accès (IAM), la facturation à la demande et autres services.

* Le terme Hyperscaler désigne donc les 3 plus grands prestataires de Cloud que sont Amazon, Microsoft et Google

** Un Hardware Security Module ou HSM est un périphérique physique renforcé et inviolable qui sécurise les process cryptographiques en offrant un service de sécurité qui consiste à générer, stocker et protéger des clés cryptographiques.

Le certificat SecNumCloud de l’ANSSI pour garantir la sécurité et la souveraineté des données

L’ANSSI (Agence nationale des systèmes de sécurité) a créé la certification SecNumCloud, qui garantit un niveau de protection élevé pour les données critiques et sensibles. Il s’agit d’un processus de validation qui concerne les prestataires de Cloud et leurs services SaaS, PaaS et IaaS. Cette qualification atteste de la conformité par rapport aux exigences définies dans le référentiel de l’ANSSI, vérifiée par des prestataires d’audit validés par l’ANSSI.

À noter que cette certification n’est valable que pour une durée de trois ans. Après cette période, les prestataires doivent réaliser des audits de surveillance tous les 18 mois pour conserver ce visa de conformité de l’ANSSI.

L’obtention de ce précieux sésame est un processus long, complexe et coûteux pour les PME, voire les ETI. Le Gouvernement veut lever ces contraintes pour les petites et moyennes entreprises mais reste à juger de l’efficacité des mesures étatiques. Cette certification est-elle un moyen absolu d’échapper aux oreilles des services américains surtout, mais aussi russes et chinois ? Cela reste à démontrer.

La liste actualisée des prestataires agréés SecNumCloud figure sur le site de l’ANSSI.

Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Du même auteur

Bouton retour en haut de la page

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité