Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Publié par ERASME

Le leader mondial du secteur, Amazon Web Services, et le champion tricolore déchu des services informatiques, Atos, s'allieraient pour proposer une nouvelle solution de Cloud de confiance, après Bleu (Microsoft avec Orange et Capgemini) et S3ns (Google avec Thales).

Au-delà des graves problèmes actuels d'Atos, cette nouvelle solution s'inscrit dans une stratégie cloud nationale devenue presque illisible en raison des multiples revirements du gouvernement et du casse-tête juridique provoqué par l'intégration des Gafam.

La Tribune fait le point.

" ... En plus de la situation très délicate d'Atos, la nouvelle solution avec Amazon ne devrait pas échapper aux polémiques qui encerclent en ce moment les projets Cloud de confiance concurrents, Bleu et S3ns. En cause : la solidité de ces offres face aux lois extraterritoriales américaines, notamment le Cloud Act et la loi FISA. A l'origine, la stratégie Cloud de confiance était annoncée comme "souveraine" : pour le gouvernement, il suffisait qu'une coentreprise de droit français vende les solutions des Gafam pour les dé-risquer totalement au niveau juridique. Pour l'ancien secrétaire d'Etat au Numérique Cédric O, principal artisan de cette stratégie, il s'agissait de faire d'une pierre deux coups : proposer les solutions les plus populaires du marché -qui sont également de grande qualité- sans leur principal inconvénient qui est leur vulnérabilité à l'espionnage américain.

Sauf que ce n'est pas aussi simple. La loi extraterritoriale américaine FISA -pour Foreign Intelligence Surveillance Act-, totalement ignorée par la communication gouvernementale et celle de Bleu et de S3ns, a pourtant été spécialement conçue pour les entreprises non-américaines. De plus, FISA s'applique au cloud, et permet aux services de renseignement américains de déposer des « backdoors » (portes dérobées) sur tout logiciel américain pour accéder aux données s'ils le souhaitent, comme l'ont souligné auprès de La Tribune de nombreux experts juridiques. La sénatrice (LR) Catherine Morin-Desailly, spécialiste du numérique, se montre stupéfaite que l'Etat ignore si délibérément l'éléphant FISA dans la pièce. « J'ai alerté l'Etat au moins trois fois, via des questions au gouvernement et même par courrier à l'ancien Premier ministre Jean Castex ainsi qu'à Elisabeth Borne et Bruno Le Maire récemment. Je n'ai jamais obtenu une réponse, le gouvernement ignore ou esquive le sujet FISA, c'est juste incompréhensible et hallucinant », tonne la sénatrice auprès de La Tribune.

Et malgré les démentis officiels, les solutions Cloud de confiance pourraient même tomber sous le coup du Cloud Act : c'est la conclusion d'un rapport remis cet été au gouvernement des Pays-Bas par un cabinet d'avocat indépendant américain basé à Amsterdam, et dont les auteurs ont été contactés par La Tribune. Ceux-ci expliquent qu'il est théoriquement possible à des solutions comme Bleu ou S3ns d'ériger une véritable muraille de Chine pour empêcher les Américains d'accéder aux données hébergées en Europe. Mais ils expliquent aussi que les États-Unis considèrent que l'utilisation de logiciels américains, même dans une offre étrangère, est une raison suffisante pour invoquer le Cloud Act.

Autrement dit, les offres Bleu et S3ns ne pourront échapper au Cloud Act que par la solidité de leur cybersécurité -mais l'infaillibilité n'existe pas en cybersécurité-, et uniquement à condition d'adapter leur structure à tous les niveaux, y compris dans l'organisation interne et RH. Ainsi, il faudra jouer un éternel jeu du chat et de la souris pour empêcher les Américains de profiter légalement de chaque opportunité pour récupérer des données, qu'il s'agisse d'une faille de sécurité, d'un transfert de données -pour une mise à jour, une sauvegarde...- ou tout simplement l'embauche d'un ressortissant américain par la structure française, qui pourrait alors servir de cheval de Troie. ... "

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article