Peut-on confier ses données sensibles aux prestataires américains ?

Peut-on confier ses données sensibles aux prestataires américains ?

Évaluer cet élément
(2 Votes)

La souveraineté numérique des organisations et des entreprises européennes est un enjeu important. Les « hyperscalers Cloud » que sont Amazon, Microsoft, et Google figurent sur le podium des fournisseurs de services Cloud aux professionnels. Ils garantissent la confidentialité des données. Qu’en est-il ?

De très nombreuses entreprises françaises utilisent les services Cloud d’Amazon Web Services (AWS), de Microsoft Azure ou encore de Google Cloud Platform. À eux trois, ils dominent le marché mondial du Cloud, avec 65 % de part du marché. Le Cloud Act (2018) et le Patriot Act (2001) imposent quant à eux à toutes les entreprises américaines, y compris aux Hyperscalers*, de fournir les « données sensibles » demandées par l’administration fédérale, même si celles-ci sont stockées en Europe.

Cela concerne les données industrielles, économiques, de recherche technologique et autres. Les révélations en 2013 d’Edward Snowden, ancien de la NSA, l’agence de surveillance américaine, ont semé le doute sur la souveraineté des données européennes confiées aux opérateurs de Cloud américains, et ont montré qu’il s’agissait d’interrogations légitimes.
Christine Grassi

En 2022, le ministère de la Justice et de la Sécurité des Pays-Bas a ainsi commandé une étude à un cabinet d'avocats américain au sujet du Cloud Act, qui valide la possibilité de collecte de données à l'étranger, au nom de la protection des États-Unis.

La réponse d’Amazon à GPO Magazine sur la confidentialité absolue des données des clients sur AWS est la suivante : « Le rapport semestriel sur les demandes d'informations d'Amazon fournit des éléments sur les types et le nombre de demandes d'informations traitées par Amazon. Depuis le second semestre 2020, date à laquelle nous avons commencé à établir un rapport spécifique sur cette mesure, nous n'avons divulgué au gouvernement américain aucune donnée de contenu d'entreprise ou de gouvernement située en dehors des États-Unis ».

Intéressant, alors même que notre plus grosse licorne française Doctolib (capitalisation boursière de plus de 1 Milliard d’euros) utilise AWS pour héberger un partie des données de santé de millions de personnes. Et ce n’est pas la seule entreprise hexagonale à confier ses données à AWS.

Les 3 options pour mettre les données critiques à l’abri des oreilles indiscrètes

« La première option est la mise en place de solutions de chiffrement souverain et de surveillance de l’infrastructure Cloud. Il s’agit, notamment, de l’annonce par Amazon lors de l'événement re:Invent 2022, du service XKS (External Key Store) pour l’hébergement des clés de chiffrement dans un HSM** situé hors de l’environnement AWS, et géré exclusivement par le client », indique Christine Grassi, consultante senior et référente offre sécurité AWS chez Devoteam Revolve. Selon AWS, cette solution garantirait ainsi la souveraineté des données sensibles.
Paul Olivier Gibert

Paul-Olivier Gibert, président de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) voit la possibilité de chiffrement par les entreprises comme une avancée significative mais avec des réserves « C’est le problème du bouclier et de l’épée, rien ne garantit que la méthode de chiffrement suivra les évolutions dans ce domaine et garantira la confidentialité des données dans le temps. Cependant, cette mesure reste une protection des informations en cas d’attaque par des pirates numériques ». L’AFCDP, qui se préoccupe du respect des normes européennes de protection telles le RGPD par les Hyperscalers, conclut en indiquant que « dans tous les cas, il n‘est jamais bon de dépendre de technologies majeures ».

« La deuxième solution s’appuie sur l’usage d’un Cloud de confiance reposant sur un partenariat entre des fournisseurs de Cloud américain et français », indique Christine Grassi.

Thales a annoncé, à l’été 2022, la création d'une nouvelle entreprise, baptisée S3NS, en partenariat avec Google, pour offrir aux entreprises publiques et privées françaises des services d'informatique dématérialisés (Cloud) approuvés par l'État.

Les partenariats, tels S3NS (entre Thales et Google) ou encore Bleu (entre Orange, Capgemini et Microsoft), qui se nouent entre les grandes entreprises françaises et les Hyperscalers que sont Amazon, Google et Microsoft sont ainsi une autre possibilité pour les entreprises, mais ils posent des questions comme le précise Christine Grassi : « Je ne suis pas convaincue que ces type de partenariats puissent être mis en place de la façon dont ils ont été annoncés publiquement. Par exemple, si le fournisseur américain met en service une nouvelle fonction, comment le partenaire français ou européen peut-il garantir de façon sûre le niveau de sécurité de type « Cloud souverain » (avec à la clé la certification de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d'information) dans un délai commercial acceptable (comme par exemple une semaine dans le cadre de certaines annonces publiques) ? ».

Une autre voie consisterait à attendre l’aboutissement du projet européen de Cloud souverain GAIA-X. Mais ce premier pas vers une infrastructure européenne du Cloud paraît mal engagé à ce jour. « Une troisième solution serait GAIA-X. Mais le processus de construction d’un espace de service de taille européenne pour y parvenir est très long. Très peu de solutions opérationnelles existent actuellement », complète Christine Grassi.

Pour l’heure, AWS et les autres Hyperscalers gardent donc une longueur d’avance sur leurs concurrents européens, en proposant non seulement les VM (machines virtuelles) comme tout prestataire de Cloud, mais aussi la gestion des Identités et des Accès (IAM), la facturation à la demande et autres services.

* Le terme Hyperscaler désigne donc les 3 plus grands prestataires de Cloud que sont Amazon, Microsoft et Google

** Un Hardware Security Module ou HSM est un périphérique physique renforcé et inviolable qui sécurise les process cryptographiques en offrant un service de sécurité qui consiste à générer, stocker et protéger des clés cryptographiques.

Le certificat SecNumCloud de l’ANSSI pour garantir la sécurité et la souveraineté des données

L’ANSSI (Agence nationale des systèmes de sécurité) a créé la certification SecNumCloud, qui garantit un niveau de protection élevé pour les données critiques et sensibles. Il s’agit d’un processus de validation qui concerne les prestataires de Cloud et leurs services SaaS, PaaS et IaaS. Cette qualification atteste de la conformité par rapport aux exigences définies dans le référentiel de l’ANSSI, vérifiée par des prestataires d'audit validés par l'ANSSI.

À noter que cette certification n’est valable que pour une durée de trois ans. Après cette période, les prestataires doivent réaliser des audits de surveillance tous les 18 mois pour conserver ce visa de conformité de l’ANSSI.

L’obtention de ce précieux sésame est un processus long, complexe et coûteux pour les PME, voire les ETI. Le Gouvernement veut lever ces contraintes pour les petites et moyennes entreprises mais reste à juger de l’efficacité des mesures étatiques. Cette certification est-elle un moyen absolu d’échapper aux oreilles des services américains surtout, mais aussi russes et chinois ? Cela reste à démontrer.

La liste actualisée des prestataires agréés SecNumCloud figure sur le site de l’ANSSI.

Lu 4964 fois Dernière modification le mercredi, 15 mars 2023 08:37
Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995
Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Comment les données et l’IA peuvent révolutionner les prises de décision ?

L'impact que les données peuvent avoir sur l’entreprise et comment des outils technologiques permettent d’exploiter ces données de manière efficace et sécurisée.

Visualiser la vidéo sur notre chaîne en cliquant ici


è
 Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts