Le « Cloud de confiance » voulu par l’ANSSI doit ajouter des sécurités importantes sur la souverraineté et la localisation des solutions Clouds.. Or de nombreuses voix s’élèvent déjà pour dénoncer un label Cloud déjà controversé.
Qu’est-ce qu’un Cloud de confiance, un label en France pour le gouvernement?
Le label « Cloud de confiance » définit un cadre pour aider les entreprises à choisir un Cloud qui respecte des critères de sécurité, de localisation et de protection juridique. Il est censé promouvoir des solutions de Clouds respectueuses des critères définis par l’ANSSI pour l’hébergement d’applications et le stockage de données de sociétés ou de particulier européen.
Héritier du « Cloud souverain » et soutenu par le gouvernement français il doit motiver des entreprises françaises à proposer des solutions d’infrastructure avec des standards techniques et juridiques élevés.
Après les offres des échecs qu’ont été CloudWatt et Numergy financés par la France, le chemin vers une offre vraiment de confiance n’est pas simple. Chaque fournisseur a voulu s’appuyer sur des solutions technologiques déjà existantes et souvent malheureusement américaines.
Or ce label de Cloud de confiance est censé protégé les accès aux données des entreprises françaises par ces mêmes fournisseurs. Or l’actualité récente démontre des limites dans cette volonté de souveraineté.
Cloud souverain / de confiance européen Thalès S3ns et Bleu Orange / Capgemini
Les offres d’entreprises françaises que seront « Bleu » et « S3ns » des sociétés mélangeant des sociétés françaises avec des partenaires américains hyperscalers.
Bleu est l’association de Orange et Capgemini avec Microsoft et les technologies Azur.
S3ns est l’association de Thalès avec Google et les technologies Google Cloud Plateform.
Un projet en cours associerait également Atos avec Amazon pour les services AWS.
Ces deux premières structures ont dès leur annonce soulevé le problème de la souveraineté technologique et juridique des acteurs européens vis à vis des lois américaines.
On parle alors d’atteinte des solutions à des lois extraterritoriales par le simple fait d’utiliser des solutions américaines sous licence. Comment alors délivrer des solutions avec les bonnes pratiques d’un Cloud de confiance porteuse d’une certification SecNumCloud à des clients tout en étant hors d’atteinte d’une loi comme le « Cloud Act » aux Etats-Unis?
Cas de Bleu et S3ns seront bien soumis au Cloud Act américain
Le ministère de la Justice et de la Sécurité des Pays-Bas a missionné une étude par un cabinet d’avocats américain au sujet du Cloud Act afin de déterminer l’application possible des textes juridiques américains sur des offres Cloud européens.
Les conclusions sont qu’une structure associant une entreprise européenne à des technologies américaines est soumis aux lois extraterritoriales même si leur siège social n’est pas aux Etats-Unis.
Et de préciser : « le Cloud Act s’applique aussi au quand un fournisseur de Cloud européen utilise du hardware ou un logiciel américain, ce qui est le principe même des futurs offres de Cloud de confiance Bleu et S3ns ».
Plusieurs experts du droit du numérique interrogés par La Tribune valident cette approche en totale contradiction avec les annonces du gouvernement français ainsi que des sociétés concernées. Ces offres de Cloud de confiance européen voulus par l’ANSSI et le gouvernement français pour les administrations publiques, les OIV opérateurs d’importance vitale, les OSE opérateurs de services essentiels ne vont au final pas pouvoir protéger correctement les accès aux données. La justice américaine va pouvoir demander des accès aux données et ce nouveau label de Cloud ne remplira pas l’objectif de souveraineté face aux géants américains.
Au final c’est bien l’extraterritorialité des lois américaines qui pose problème, la stratégie nationale pour avoir un niveaux de sécurité accrue pour les administrations et les entreprises est déjà mort né pour ces solutions. Aucune solution souveraine ne pourra faire appel à ce type de partenariat technologique. Après les initiatives Gaïa-x et « Cloud au centre » également décevantes, il ne reste comme solution que d’aller sur des hébergeurs européens dont la technologie est non américaine, seule approche viable pour un gage de souveraineté numérique.
Est-ce que le SecNumCloud pourra compenser?
A l’heure actuelle SecNumCloud reste le meilleur compromis pour avoir un Cloud de confiance mais cette norme a besoin d’être renforcée sur plusieurs points :
- aucune dépendance actionnariale avec une entité américaine
- localisation géographique en Europe
- aucune technologie ou matériel américain
Ce sont ces contraintes qui feront de SecNumCloud un véritable label digne du Cloud de confiance / souverain / au centre peu importe sa dénomination. Mais pour le moment le risque juridique existe toujours y compris sur les offres déjà certifiées qui utilisent des solutions matérielles et logicielles américaines dans leurs solutions.
Qui est-certifié SecNumCloud ?
SecNumCloud est une certification professionnelle délivrée par l’ANSSI qui certifie les professionnels de la sécurité des SI Cloud. Cette certification a pour objectif de vérifier les connaissances et les compétences nécessaires à la mise en place d’une sécurité adaptée aux environnements Cloud.
Actuellement trois acteurs sont certifiés SNC :
- Dassault 3DS Outscale
- OVHCloud
- CloudTemple
