{"id":3223,"date":"2022-11-02T11:17:00","date_gmt":"2022-11-02T10:17:00","guid":{"rendered":"https:\/\/www.digdeo.fr\/articles\/?p=3223"},"modified":"2022-10-23T19:12:44","modified_gmt":"2022-10-23T17:12:44","slug":"cloud-confiance-deja-controverse","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/securite\/cloud-confiance-deja-controverse","title":{"rendered":"Cloud de confiance un label d\u00e9j\u00e0 controvers\u00e9"},"content":{"rendered":"\n<p>Le \u00ab\u00a0Cloud de confiance\u00a0\u00bb voulu par l&rsquo;ANSSI doit ajouter des s\u00e9curit\u00e9s importantes sur la souverrainet\u00e9 et la localisation des solutions Clouds.. Or de nombreuses voix s&rsquo;\u00e9l\u00e8vent d\u00e9j\u00e0 pour d\u00e9noncer un label Cloud d\u00e9j\u00e0 controvers\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu&rsquo;est-ce qu&rsquo;un Cloud de confiance, un label en France pour le gouvernement?<\/h2>\n\n\n\n<p>Le label \u00ab\u00a0Cloud de confiance\u00a0\u00bb d\u00e9finit un cadre pour aider les entreprises \u00e0 choisir un Cloud qui respecte des crit\u00e8res de s\u00e9curit\u00e9, de localisation et de protection juridique. Il est cens\u00e9 promouvoir des solutions de Clouds respectueuses des crit\u00e8res d\u00e9finis par <a href=\"https:\/\/www.digdeo.fr\/articles\/securite\/anssi-rapport-cybercriminalite-2020-2021\" data-type=\"post\" data-id=\"3057\">l&rsquo;ANSSI<\/a> pour l&rsquo;h\u00e9bergement d&rsquo;applications et le stockage de donn\u00e9es de soci\u00e9t\u00e9s ou de particulier europ\u00e9en.<\/p>\n\n\n\n<p>H\u00e9ritier du \u00ab\u00a0Cloud souverain\u00a0\u00bb et soutenu par le gouvernement fran\u00e7ais il doit motiver des entreprises fran\u00e7aises \u00e0 proposer des solutions d&rsquo;infrastructure avec des standards techniques et juridiques \u00e9lev\u00e9s.<\/p>\n\n\n\n<p>Apr\u00e8s les offres des \u00e9checs qu&rsquo;ont \u00e9t\u00e9 CloudWatt et Numergy financ\u00e9s par la France, le chemin vers une offre vraiment de confiance n&rsquo;est pas simple. Chaque fournisseur a voulu s&rsquo;appuyer sur des solutions technologiques d\u00e9j\u00e0 existantes et souvent malheureusement am\u00e9ricaines.<\/p>\n\n\n\n<p>Or ce label de Cloud de confiance est cens\u00e9 prot\u00e9g\u00e9 les acc\u00e8s aux donn\u00e9es des entreprises fran\u00e7aises par ces m\u00eames fournisseurs. Or l&rsquo;actualit\u00e9 r\u00e9cente d\u00e9montre des limites dans cette volont\u00e9 de souverainet\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cloud souverain \/ de confiance europ\u00e9en Thal\u00e8s S3ns et Bleu Orange \/ Capgemini<\/h2>\n\n\n\n<p>Les offres d&rsquo;entreprises fran\u00e7aises que seront \u00ab\u00a0Bleu\u00a0\u00bb et \u00ab\u00a0S3ns\u00a0\u00bb des soci\u00e9t\u00e9s m\u00e9langeant des soci\u00e9t\u00e9s fran\u00e7aises avec des partenaires am\u00e9ricains hyperscalers.<\/p>\n\n\n\n<p>Bleu est l&rsquo;association de Orange et Capgemini avec Microsoft et les technologies Azur.<\/p>\n\n\n\n<p>S3ns est l&rsquo;association de Thal\u00e8s avec Google et les technologies Google Cloud Plateform.<\/p>\n\n\n\n<p>Un projet en cours associerait \u00e9galement Atos avec Amazon pour les services AWS.<\/p>\n\n\n\n<p>Ces deux premi\u00e8res structures ont d\u00e8s leur annonce soulev\u00e9 le probl\u00e8me de la souverainet\u00e9 technologique et juridique des acteurs europ\u00e9ens vis \u00e0 vis des lois am\u00e9ricaines.<\/p>\n\n\n\n<p>On parle alors d&rsquo;atteinte des solutions \u00e0 des lois extraterritoriales par le simple fait d&rsquo;utiliser des solutions am\u00e9ricaines sous licence. Comment alors d\u00e9livrer des solutions avec les bonnes pratiques d&rsquo;un Cloud de confiance porteuse d&rsquo;une <a href=\"https:\/\/www.digdeo.fr\/articles\/securite\/infogerance-secnumcloud-cloud-confiance\" data-type=\"post\" data-id=\"2959\">certification SecNumCloud<\/a> \u00e0 des clients tout en \u00e9tant hors d&rsquo;atteinte d&rsquo;une loi comme le \u00ab\u00a0Cloud Act\u00a0\u00bb aux Etats-Unis?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Cas de Bleu et S3ns seront bien soumis au Cloud Act am\u00e9ricain<\/h2>\n\n\n\n<p>Le minist\u00e8re de la Justice et de la S\u00e9curit\u00e9 des Pays-Bas a <a target=\"_blank\" href=\"https:\/\/www.ncsc.nl\/documenten\/publicaties\/2022\/augustus\/16\/cloud-act-memo\" rel=\"noreferrer noopener nofollow\">missionn\u00e9 une \u00e9tude par un cabinet d&rsquo;avocats am\u00e9ricain<\/a> au sujet du Cloud Act afin de d\u00e9terminer l&rsquo;application possible des textes juridiques am\u00e9ricains sur des offres Cloud europ\u00e9ens.<\/p>\n\n\n\n<p>Les conclusions sont qu&rsquo;une structure associant une entreprise europ\u00e9enne \u00e0 des technologies am\u00e9ricaines est soumis aux lois extraterritoriales m\u00eame si leur si\u00e8ge social n&rsquo;est pas aux Etats-Unis.<\/p>\n\n\n\n<p>Et de pr\u00e9ciser : \u00ab\u00a0le Cloud Act s&rsquo;applique aussi au quand un fournisseur de Cloud europ\u00e9en utilise du hardware ou un logiciel am\u00e9ricain, ce qui est le principe m\u00eame des futurs offres de Cloud de confiance Bleu et S3ns\u00a0\u00bb.<\/p>\n\n\n\n<p>Plusieurs experts du droit du num\u00e9rique interrog\u00e9s par La Tribune valident cette approche en totale contradiction avec les annonces du gouvernement fran\u00e7ais ainsi que des soci\u00e9t\u00e9s concern\u00e9es. Ces offres de Cloud de confiance europ\u00e9en voulus par l&rsquo;ANSSI et le gouvernement fran\u00e7ais pour les administrations publiques, les OIV op\u00e9rateurs d&rsquo;importance vitale, les OSE op\u00e9rateurs de services essentiels ne vont au final pas pouvoir prot\u00e9ger correctement les acc\u00e8s aux donn\u00e9es. La justice am\u00e9ricaine va pouvoir demander des acc\u00e8s aux donn\u00e9es et ce nouveau label de Cloud ne remplira pas l&rsquo;objectif de souverainet\u00e9 face aux g\u00e9ants am\u00e9ricains.<\/p>\n\n\n\n<p>Au final c&rsquo;est bien l&rsquo;extraterritorialit\u00e9 des lois am\u00e9ricaines qui pose probl\u00e8me, la strat\u00e9gie nationale pour avoir un niveaux de s\u00e9curit\u00e9 accrue pour les administrations et les entreprises est d\u00e9j\u00e0 mort n\u00e9 pour ces solutions. Aucune solution souveraine ne pourra faire appel \u00e0 ce type de partenariat technologique. Apr\u00e8s les initiatives Ga\u00efa-x et \u00ab\u00a0Cloud au centre\u00a0\u00bb \u00e9galement d\u00e9cevantes, il ne reste comme solution que d&rsquo;aller sur des h\u00e9bergeurs europ\u00e9ens dont la technologie est non am\u00e9ricaine, seule approche viable pour un gage de souverainet\u00e9 num\u00e9rique.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Est-ce que le SecNumCloud pourra compenser?<\/h2>\n\n\n\n<p>A l&rsquo;heure actuelle SecNumCloud reste le meilleur compromis pour avoir un Cloud de confiance mais cette norme a besoin d&rsquo;\u00eatre renforc\u00e9e sur plusieurs points :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>aucune d\u00e9pendance actionnariale avec une entit\u00e9 am\u00e9ricaine<\/li><li>localisation g\u00e9ographique en Europe<\/li><li>aucune technologie ou mat\u00e9riel am\u00e9ricain<\/li><\/ul>\n\n\n\n<p>Ce sont ces contraintes qui feront de SecNumCloud un v\u00e9ritable label digne du Cloud de confiance \/ souverain \/ au centre peu importe sa d\u00e9nomination. Mais pour le moment le risque juridique existe toujours y compris sur les offres d\u00e9j\u00e0 certifi\u00e9es qui utilisent des solutions mat\u00e9rielles et logicielles am\u00e9ricaines dans leurs solutions.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qui est-certifi\u00e9 SecNumCloud ?<\/h2>\n\n\n\n<p>SecNumCloud est une certification professionnelle d\u00e9livr\u00e9e par l\u2019ANSSI qui certifie les professionnels de la s\u00e9curit\u00e9 des SI Cloud. Cette certification a pour objectif de v\u00e9rifier les connaissances et les comp\u00e9tences n\u00e9cessaires \u00e0 la mise en place d\u2019une s\u00e9curit\u00e9 adapt\u00e9e aux environnements Cloud.<\/p>\n\n\n\n<p>Actuellement trois acteurs sont certifi\u00e9s SNC :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/www.digdeo.fr\/articles\/actualite\/digdeo-partenaire-confiance-3ds-outscale\" data-type=\"post\" data-id=\"3081\">Dassault 3DS Outscale<\/a><\/li><li>OVHCloud<\/li><li>CloudTemple<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Le \u00ab\u00a0Cloud de confiance\u00a0\u00bb voulu par l&rsquo;ANSSI doit ajouter des s\u00e9curit\u00e9s importantes sur la souverrainet\u00e9 et la localisation des solutions Clouds.. Or de nombreuses voix s&rsquo;\u00e9l\u00e8vent d\u00e9j\u00e0 pour d\u00e9noncer un label Cloud d\u00e9j\u00e0 controvers\u00e9. Qu&rsquo;est-ce qu&rsquo;un Cloud de confiance, un label en France pour le gouvernement? Le label \u00ab\u00a0Cloud de confiance\u00a0\u00bb d\u00e9finit un cadre pour [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":3226,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[28,48,36],"class_list":["post-3223","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","tag-infrastructure-cloud","tag-secnumcloud","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=3223"}],"version-history":[{"count":2,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3223\/revisions"}],"predecessor-version":[{"id":3225,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/3223\/revisions\/3225"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3226"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=3223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=3223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=3223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}