La France a abandonné le cloud souverain sans discussion et sans réelle opposition. Le français Thalès, spécialisé dans la défense, vient de signer un partenariat avec Google pour développer un service de cloud à destination non seulement des entreprises privées mais aussi des institutions publiques. Pourtant, l’an dernier, en pleine crise du Covid, la découverte que les données de santé publique étaient confiées à Microsoft avait soulevé un tollé. L’Etat avait alors annoncé sa volonté de créer un cloud souverain garant de l’intégrité des données publiques.
De fait, le gouvernement a accouché en mai dernier d’un texte passablement infléchi sous l’influence des lobbyistes pour le rendre "GAFAM compatible". Exit le cloud souverain, place au "cloud de confiance". Derrière cet habile changement de nom se cache un abandon de la souveraineté au profit des GAFAM. Un cloud souverain, autrement dit le fait de mettre des données publiques ou privées sur des serveurs à l’abri de toute ingérence étrangère grâce à l’utilisation d’une technologie française ou européenne, a été remplacé par un autre concept, le "cloud de confiance" dans lequel les données sont théoriquement protégées par un contrat de confiance passé avec des entreprises privées libres de s’associer avec qui elles le souhaitent.
"Nous avons signé un contrat dans lequel les plus grandes entreprises françaises deviennent les revendeurs de la technologie américaine, s’étrangle Luc d’Urso, vice-président d’Hexatrust, une association qui regroupe les acteurs français de cybersécurité. Au lieu de développer une souveraineté, un écosystème permettant de mettre en avant une technologie européenne, on s’est littéralement couché devant les injonctions américaines. Après l’affaire des sous-marins, c’est le pompon!"
Un nouveau risque de dépendance industrielle
Si Google et Thalès se félicitent de la création de cette étiquette "cloud de confiance" par le gouvernement, tout le monde n’est pas du même avis. "Promouvoir ostensiblement le recours à des solutions logicielles sous licence paraît un choix difficilement compréhensible en termes de politique industrielle, s’inquiétait déjà Yann Lechelle, directeur général de Scaleway (cloud), en mai dernier. Les acteurs français vont se trouver cantonnés dans un rôle de revendeurs de technologie logicielle non-européenne… L’Etat semble abdiquer toute ambition pour le développement d’une filière cloud française." Et d'ajouter: "loin de résoudre un problème de souveraineté cette solution expose l’environnement numérique français à de nouveaux types de dépendances. Le label "cloud de confiance" exclut du champ des offres un certain nombre d’acteurs français qui se différencient pourtant par leur crédo souverain au prix d’investissements conséquents."
Le contrat passé entre Thalès et Google prévoit la création d’une entreprise conjointe dans laquelle Thalès sera majoritaire pour l’exploitation de serveurs sous technologie Google. "Une honte, poursuit Luc d’Urso. Les acteurs français du secteur ont été obligés d’obtenir la certification de l’ANSSI [Agence nationale de la sécurité des systèmes d'information qui évalue et certifie les équipements, NDLR] alors que Google ne l’a pas. C’est invraisemblable." Google France confirme ne pas avoir la certification ANSSI puisque la société qui exploitera les serveurs n’existe pas encore.
Une opacité parfaite
Sur ce point, le gouvernement se défend en affirmant que les deux groupes devront présenter un haut niveau de sécurisation pour être estampillé "cloud de confiance". Bruno Le Maire et Cédric O se sont ainsi félicités de cette initiative qui permet aux entreprises et aux organisations publiques d’accéder aux technologies de cloud américaines tout en conservant la maîtrise des données, qui resteront hébergées en France. Du moins en théorie. Car la loi Cloud Act, votée en 2018 aux Etats-Unis, oblige en effet les fournisseurs américains à communiquer sur demande les données qu'ils abritent, même si ces données sont hébergées hors des Etats-Unis. Mais ces fournisseurs n’ont pas le droit de révéler qu’ils ont fait l’objet de demandes et encore moins de révéler ce qu’ils ont fourni.
Plus grave, ce "cloud de confiance" pourrait présenter des failles stratégiques majeures. "Les métadonnées intrinsèques aux solutions étrangères permettront toujours l’application de la loi américaine, explique Yann Lechelle. Le code source ne sera probablement pas auditable et par conséquent permettra soit des back-doors [programme informatique malveillant utilisé pour accéder à distance à un ordinateur infecté en exploitant les vulnérabilités du système, NDRL], soit fera remonter des informations sensibles sans qu’il soit facile d’analyser les flux sortants, donc une opacité parfaite d’un point de vue cyber." Le bon déroulement de ces partenariats sera par ailleurs tributaire du régime de contrôle des exportations des Etats-Unis en matière de licences. La législation peut évoluer au gré des dirigeants américains ce qui entraîne un manque de prédictibilité.
Bientôt un "cloud de confiance" avec Alibaba?
Une première entorse à la souveraineté technologique s’était déjà produite avec l’émergence de "Bleu", le "cloud de confiance" de Capgemini et Orange qui a introduit Microsoft dans la gestion des données publiques, en mai. AWS, filiale d’Amazon est également sur les rangs: "Ce qui risque de se développer, confie Stephan Hadinger, directeur technique d’AWS France, est un modèle de licensing de technologie. Nous accordons une licence qui est opérée par des tiers. Nous avons annoncé avec Atos le déploiement de serveurs avec notre technologie dans le domaine militaire par exemple." En clair, les trois mastodontes américains ont déjà réussi à faire leur nid sur le créneau très convoité du "cloud de confiance".
A l'avenir, "on peut très bien imaginer que les données publiques seront hébergées en France, remarque un hébergeur, dans une ferme de données construite par l’américain Equinix, sur des serveurs Intel, utilisant les technologies cloud de Microsoft, l’IA de Google, les algorithmes de Google, les logiciels de chiffrement développés conjointement par Thalès et Google. Le label "cloud de confiance" servira de faux-nez aux Gafam et sans doute à la NSA." Enfin, on voit mal pourquoi les conditions nécessaires pour être estampillé "cloud de confiance" ne s’appliqueraient pas au chinois Alibaba qui dispose lui aussi de toute une panoplie de services. Bref, comme chantait le serpent du Livre de la jungle: "Aie confiance…"
Voir toutes les réactions