La contre-offensive est lancée contre la stratégie « cloud de confiance » et ses nouvelles offres de cloud pour l'Etat et les opérateurs d'importance vitale (OIV). D'après nos informations, lundi 4 juillet, jour de la nomination de Jean-Noël Barrot en tant que ministre délégué à la Transition numérique et aux télécommunications, son collègue Modem à l'Assemblée nationale, Philippe Latombe, a envoyé deux courriers attaquant S3ns, le projet de cloud entre Google et Thales s'inscrivant dans la stratégie « cloud de confiance ». Bleu, le projet entre Microsoft et Orange/Capgemini, est également cité mais « sa communication est moins problématique » estime le député.
La première lettre s'adresse à la présidente de la Commission nationale informatique et libertés (Cnil), Marie-Laure Denis. La deuxième au directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Guillaume Poupard, qui s'apprête par ailleurs à quitter son poste. L'objectif : que les deux institutions regardent sérieusement sous le capot de S3ns, notamment sa structure juridique et sa capacité à vraiment protéger les données des OIV, qui sont invités à souscrire sans attendre avec Google Cloud alors que l'offre S3ns n'arrivera qu'en 2024. Un courrier a également été envoyé mercredi au nouveau ministre du numérique, qui se voit donc chargé de son premier dossier brûlant. Enfin, le député Modem a déposé une question officielle au gouvernement ce mercredi à l'Assemblée nationale, pour obtenir une réaction de Bruno Le Maire ou de Jean-Noël Barrot.
Sur la base de nombreuses « zones d'ombre qui nécessitent une enquête approfondie » et d'éléments que Philippe Latombe qualifie auprès de La Tribune de « communication trompeuse » de la part de Thales, la Cnil est ainsi invitée à s'auto-saisir pour se prononcer sur la légalité du dispositif au regard du RGPD, et l'Anssi à apprécier l'utilisation du concept « cloud de confiance » par S3ns et Bleu.
- Lire aussi : Cloud de confiance avec les Gafam : « Les décideurs ne doivent pas être naïfs » (David Chassan, 3DS Outscale)
"Il faut tirer les conséquences de Schrems 2 sur le cloud"
Le député Modem s'interroge sur la légalité du dispositif de « cloud de confiance », qui consiste à autoriser l'utilisation de technologies cloud étrangères du moment que le service est proposé par une coentreprise de droit français, ce qui constituerait une barrière suffisante contre les lois extraterritoriales américaines.
Sauf que l'arrêt Schrems 2 de la Cour de justice européenne (CJUE), en 2020, a rebattu quelque peu les cartes. Cette décision de justice a annulé le Privacy Shield, l'accord crucial qui encadrait les transferts de données entre l'Europe et les Etats-Unis. La raison ? Les lois extraterritoriales américaines (Cloud Act, loi FISA...) permettent aux services de renseignement d'accéder aux données des clients des entreprises américaines, même à l'étranger. Depuis, la situation est dans une impasse juridique : soit les Américains tempèrent leurs lois extraterritoriales, soit l'UE revient sur le RGPD, mais tout nouvel accord sans que l'une des deux parties concède quelque chose serait voué à un nouvel échec en justice quelques années plus tard d'après un quasi-consensus des experts.
L'invalidation du Privacy Shield a provoqué des réactions en chaîne. La Cnil française a ainsi déclaré illégale en février dernier l'utilisation de Google Analytics, l'outil dominant d'analyse du trafic pour les sites web. « Mais personne n'a tiré les conséquences de Schrems 2 sur le cloud », déplore Philippe Latombe.
« Google Cloud et Microsoft Azure sont-ils compatibles avec le RGPD, même emballés dans une coentreprise de droit français ? Le cloud est le socle de l'économie numérique mais personne ne semble se poser cette question cruciale. Dans la mesure où l'UE estime que les lois extraterritoriales américaines violent le RGPD, doit-on demander aux opérateurs d'importance vitale d'utiliser les technologies cloud américaines pour héberger leurs données les plus sensibles ? Les acteurs français -Thales avec S3ns, Orange et Capgemini avec Bleu- peuvent-ils vraiment protéger ces données alors qu'ils n'auront en théorie pas la capacité d'auditer par eux-mêmes le code source ? Il faut arrêter de se voiler la face », s'agace-t-il.
Le problème de l'hébergement des données
Le courrier de Philippe Latombe s'alarme ainsi de la communication de Thales autour de S3ns, qui pose selon lui le « risque d'induire les acheteurs en erreur ». Il remet également en cause la « trajectoire vers le cloud de confiance » promise par le nouveau service. En attendant son lancement au deuxième semestre 2024, S3ns invite en effet le marché des OIV, des OSE (opérateurs de services essentiels) et de l'administration, à souscrire à une offre Google Cloud, car il sera possible de basculer depuis Google Cloud vers S3ns dès que celui-ci sera disponible.
Sur la page des offres, il est ainsi écrit que les données des clients seront hébergées « en France dans les datacenters Google » concernant l'offre transitoire, puis « dans les datacenters S3ns » concernant l'offre Cloud de Confiance prévue fin 2024. Dans sa lettre, Philippe Latombe tique : « A ce jour, Google ne dispose pas de ses propres datacenters en France, mais loue des espaces dans des datacenters de tiers américains, ce qui pose la question de la réelle transparence de Google quant à l'architecture technique projetée », met-il en garde. Google Cloud a a bien annoncé le 30 juin l'ouverture de sa zone France avec trois datacenters situés dans l'Hexagone. « Mais s'il s'agit de datacenters appartenant à Google, alors ils seront soumis au Cloud Act ! », s'étrangle le député à La Tribune. Et de poursuivre :
« Que Google dise qu'il hébergera en France les données de l'offre transitoire de S3ns ne les protègera pas du tout des lois extraterritoriales américaines. De plus, même quand S3ns et Bleu [la coentreprise entre Microsoft et Orange/Capgemini, Ndlr] seront là, il est impossible de garantir que l'ensemble des données resteront toujours en France. C'est le principe même du cloud, ne serait-ce que pour des raisons de maintenance des serveurs et de vérification de la qualité du service. C'est pourquoi je demande à l'Anssi de s'interroger sur les "backdoors" qui pourront être placées dans les logiciels si Thales et Orange/Capgemini n'ont pas accès au code source », poursuit-il.
Zone d'ombre autour de l'accès au code source
C'est la deuxième grosse interrogation émise dans la lettre. S3ns comme Bleu n'ont pas affirmé qu'ils seront en capacité d'avoir accès au code source des logiciels cloud qu'ils commercialiseront, respectivement ceux de Google Cloud et de Microsoft Azure. Et pour cause : on imagine mal les deux géants américains autoriser des Français à trifouiller leur code, qui est leur secret industriel le plus précieux, garant de leur puissance. Or, l'obtention du label « Cloud de confiance » par l'Anssi nécessite de pouvoir garantir l'imperméabilité de la solution aux lois extraterritoriales américaines...
Thales a bien répondu à cette interrogation, en expliquant qu'il y aura un décalage de trois jours entre le moment où les mises à jour logicielles des solutions Google Cloud seront disponibles pour les clients de Google Cloud, et pour ceux de S3ns. Un délai qui doit permettre à Thales d'effectuer les contrôles de sécurité. Philippe Latombe doute que cela suffise pour garantir le niveau de sécurité SecNumCloud et invite l'Anssi à se pencher sur cette question. « Ce délai sera très insuffisant si Google envoie d'un seul coup l'équivalent de plusieurs mois de travail de centaines d'ingénieurs. Quelle protection contre les backdoors pour éviter que les services américains ne bénéficient d'un accès détourné aux données hébergées ?" Et "quelles garanties sont données par Thales sur sa réelle capacité à auditer le code source qui sera fourni par Google ? ».
« Volonté de capter la clientèle avant qu'elle n'aille sur des offres SecNumCloud déjà existantes »
Enfin, le député Modem dénonce la stratégie de communication qu'il juge trompeuse de S3ns et de Bleu. « Thales et Google annoncent prématurément la disponibilité future de S3ns pour, de leur propre aveu, encourager les clients à signer d'ores et déjà un contrat de services d'hébergement basé sur Google Cloud, sans les garanties de sécurité et les garanties juridiques de la qualification SecNumCloud », tonne-t-il.
Même reproche pour Orange et Capgemini. « Ils ont annoncé au profit de Microsoft l'entrée en commercialisation d'offres de leur filiale Bleu dès fin 2022, tout en annonçant que rien ne sera opérationnel avant 2024. Là encore, on voit la volonté de capter la clientèle avant qu'elle n'aille sur des offres déjà existantes ».
Le député est particulièrement remonté contre Thales et Google en raison des méthodes de communication employées. Ainsi, sur son site internet officiel, l'offre S3ns se présente comme « Le Cloud. De Confiance. Pour la France » et incite les clients à souscrire dès 2022. Or, « cloud de confiance » désigne exclusivement des offres labellisées par l'Anssi avec SecNumCloud. Ce qui ne sera le cas ni de l'offre transitoire de S3ns, ni de celle de Bleu. Pour s'en sortir, Thales joue sur la ponctuation en mettant des points entre les mots. « Une tentative d'enfumage », dénonce le député dans sa lettre.
Auprès de La Tribune, il complète :
« Il est sidérant que S3ens joue à ce point sur les mots et assume une telle prédation des clients alors que sa solution sera indisponible au moins encore deux ans. Dans n'importe quel autre secteur cela entraînerait une levée de boucliers. Dans l'agroalimentaire, on ne peut pas dire qu'on est presque bio, soit on l'est soit on ne l'est pas. Cette communication est de nature à tromper le marché malgré les précautions de langage », estime-t-il.
-------------------------------------------------
Sollicité par La Tribune, l'Anssi a confirmé réception de la lettre mais indique ne pas vouloir faire de commentaire. La Cnil a également confirmé réception du courrier et s'engage à « apporter une réponse à M. Latombe après analyse ». L'institution rappelle également que le "sujet du cloud fait partie des axes stratégiques de la Cnil pour 2022-2024" et que son plan d'action « permettra, sur le fondement de l'arrêt dit « Schrems 2 », de sécuriser les transferts de données personnelles des Français vers des pays hors UE ». Thales n'a pas encore répondu à nos questions.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés