[L’enquête] Alors que l’Union Européenne n’a toujours pas accouché de la version finale du texte appelé à encadrer le dispositif de certification des services cloud en son sein, les entreprises françaises et leurs fournisseurs gèrent tant bien que mal l’incertitude que cela fait peser sur les stratégies de développement et de gestion de leurs données sensibles.

« La France n’a pas encore arrêté la position qu’elle compte adopter sur le schéma de certification des services cloud de l’Union européenne (EUCS) », affirme une source proche du directeur de cabinet de la secrétaire d’Etat chargée du numérique Marina Ferrari. Voilà une information qui ne va pas atténuer l’incertitude à laquelle les entreprises ayant recours à des solutions cloud font face en attendant les derniers arbitrages de la Commission européenne sur ce sujet. Les derniers échos en provenance de Bruxelles ne sont pas jugés rassurants pas les partisans de ce schéma appelé à devenir le système de certification cloud uniformisé de l’Union européenne (UE). La plupart des Etats membres de l’UE semblent prêts à abandonner les critères de sécurité juridique face aux réglementations extra-européennes.

Une nouvelle de mauvaise augure pour les entreprises françaises et les fournisseurs de services cloud, notamment ceux certifiés SecNumCloud par l’Anssi, qui craignent que l’Europe ne laisse la porte grande ouverte notamment à la section 702 du « Foreign Intelligence Surveillance Act (FISA). Ce paragraphe définit le cadre d’action des agences de renseignement américaines vis-à-vis des pays étrangers, en matière de surveillance physique et électronique. Lors d’une table ronde animée par Alliancy au FIC 2023, Aude Le Tellier, cheffe de division adjointe à la coordination internationale pour l’Anssi, avait déclaré : « Il existe des risques connus liés à l’exposition des fournisseurs de cloud aux lois de pays tiers à l’UE à portée extraterritoriale. Le fait qu’un fournisseur soit soumis à un conflit de droits s’accompagne de risques autant pour la confidentialité que pour l’intégrité et la disponibilité des données qu’il héberge »

Des entreprises organisées mais (en partie) fatalistes

« Actuellement, il règne effectivement un certain flou », note Jean-Baptiste Courouble. Le directeur des systèmes d’information de l’Urssaf milite depuis plusieurs années pour que naisse un cloud de confiance communautaire mutualisé entre les organismes de protection sociale (Assurance Maladie et Assurance Retraite) et l’Urssaf. « Notre or noir, ce sont les données qui concernent les revenus des entrepreneurs et des indépendants mais aussi les bulletins de salaire dont 25 millions sont émis tous les mois. Nous ne pouvons pas mettre cela dans un cloud public. Il nous faut nécessairement un espace de confiance privé. Et cette question d’extra-territorialité nous pose un problème. Ce serait une erreur de remettre en question ces critères de sécurité juridique », poursuit le DSI.  

Autre regret de Jean-Baptiste Courouble : le retard pris par la France en matière de développement d’offres cloud. Les échecs de Numergy et Cloudwatt sont passés par là. « Je ne pense pas que nous parviendrons à combler le fossé nous séparant des Microsoft, Google et AWS, notamment en matière de niveau de services managés. Néanmoins, la question n’est pas de tout mettre dans des clouds de confiance mais de disposer pour les données dites sensibles (voir illustration). C’est ce que nous faisons, mais ce sont des solutions qui ont un coût, qui ne sont pas forcément simples à employer » Le DSI se réjouit néanmoins de l’existence de prestataires type OVHcloud, Cloud Temple, NumSpot, à côté des alliances Google/Thales avec S3NS ou Orange/CapGemini/Microsoft avec Bleu.

Mais si EUCS in fine n’impose plus d’avoir des données avec un niveau de certification de type SecNumCloud,- étanche donc aux lois extraterritoriales -, l’expert ne voit plus trop quel intérêt ces opérateurs auront à développer leurs offres. Pire, « si l’Europe renonce à ce critère de souveraineté pour les applications cloud les plus sensibles, la France se verra contester en justice le référentiel SecNumCloud et les appels d’offre demandant plus que ce que proposera la certification EUCS seront systématiquement attaqués », prévient Jérôme Valat, CEO et co-fondateur de Cleyrop, datahub à l’architecture cloud-native Gaia-X.

Les acteurs du secteur bancaire sont aussi très attentifs à ce qui sortira du chapeau bruxellois. Pour Nicolas Krajevitch, directeur transformation, technologies, Innovation de la Caisse d’épargne Bourgogne Franche-Comté, la banque doit par définition être un partenaire de confiance. Pas d’informatique, pas de banque, c’est aussi simple que cela. « Incertitude réglementaire ou non, nous sommes en permanence engagés dans une double démarche d’audit interne et externe par les régulateurs. De plus, toutes les données n’ont pas la même criticité », souligne Nicolas Krajevitch. « EUCS reflète une réalité technologique où tout est très intégré. La question du cloud pose aussi celle de l’accès aux logiciels et aux services proposés. Aujourd’hui, le grand sujet est celui de l’intelligence artificielle (IA) et notamment de l’IA générative. Pour travailler sur ces sujets, il faut de la puissance, que seul le cloud peut nous apporter. », affirme le directeur.

Associations professionnelles et fournisseurs vent debout contre un ersatz d’EUCS

Les lobbys et prestataires de services s’activent donc tous azimuts pour défendre un EUCS étanche à l’extraterritorialité du droit américain. « Avec le projet de loi SREN visant à sécuriser et réguler l’espace numérique, le référentiel français SecNumCloud a de beaux jours devant lui mais ce qui compte pour les fournisseurs de services cloud et les pouvoirs publics aussi, je crois, c’est de favoriser le passage à l’échelle européenne pour avoir des sociétés de technologies IT capables de produire à grande échelle dans le monde et de se mesurer aux géants comme Amazon, Microsoft ou Azure ou Google Cloud », appelle de ses vœux Sébastien Lescop, DG de Cloud Temple, société certifiée SecNumCloud.

« Pas d’EUCS, plutôt qu’un EUCS dégradé ». Tel est l’avis d’Henri d’Agrain, délégué général du Cigref inquiet des risques que ferait peser cette reculade sur les critères de sécurité juridique. L’association professionnelle a d’ailleurs fait part de ses inquiétudes à ce sujet dans un courrier le 11 avril envoyé à la présidente de la Commission européenne Ursula Von Der Leyen. Le 8 avril, c’est Guillaume Poupard, directeur général adjoint de Docaposte et ex-directeur général de l’Anssi, qui avait pris la plume sur LinkedIn pour dire que « le niveau de sécurité le plus élevé se doit d’exiger une réelle sécurité juridique excluant le risque d’atteinte aux données via des mécanismes réglementaires non européens à portée extraterritoriale », taclant au passage les pays « prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL ». A bon entendeur salut !