Il pourrait bien y avoir un nouveau participant dans la course au « nuage de confiance ». Selon une information du Journal du net, le géant américain Amazon et le champion français du numérique Atos plancheraient sur une offre cloud appelée au fameux « SecNumCloud », cette certification proposée par l’ANSSI et garantissant un niveau de sécurité très élevé.
Le groupe Atos n’a pas souhaité commenter cette information, “qui ne revêt aucun caractère officiel”. Amazon n’a, quant à lui, pas répondu aux sollicitations de l’Usine Digitale à l’heure de la publication. Si les confidences recueillies par le Journal du net se révèlent exigées, en revanche, il s’agirait du troisième partenariat entre une entreprise française et un géant américain qui veut s’attaquer à ce marché.
En mai 2021, Capgemini et Orange avaient annoncé la création de « Bleu », basée sur la technologie de Microsoft, pour «répondre aux besoins de souveraineté de l’État français, des administrations publiques et des entreprises dotées d’infrastructures critiques”. Fin juin, Thalès et Google Cloud inauguraient une initiative similaire avec « S3NS ».
Objectif “SecNumCloud”
Si Amazon, Google et Microsoft s’associent avec les entreprises françaises, c’est bien parce qu’elles espèrent décrocher le label “cloud de confiance”, gage de souveraineté numérique et qui reposent sur la certification “SecNumCloud”. Dans sa dernière mise à jour datée de mars 2022, l’Anssi inclut de nouveaux critères censés garantir l’imperméabilité des solutions rédigées face à l’extra-territorialité des législations étrangères, américaines notamment.
Si ces offres veulent avoir une chance d’obtenir le sésame, il faudra notamment que le capital social et les droits de vote de la société créée ad hoc ne soient pas individuellement détenus à plus de 24 % ou collectivement détenus à plus de 39 % par une entité tierce dont le siège est établi hors de l’UE. Si ce critère semble, a prioridéjà coché par ces nouveaux partenariats, il en est un qui pourrait bien donner du fil à retordre à ces structures et au gendarme de la cybersécurité français au moment du contrôle technique.
Dans le cas où l’entreprise a recours aux services d’une société tierce dont le siège principal n’est pas dans l’UE, l’entreprise doit pouvoir garantir que cette société étrangère n’ait pas “la possibilité technique d’obtenir les données opérées au travers du service”.
Et ce dernier point pourrait bien virer au casse-tête. D’après une étude commandée à un cabinet d’avocats américain par le ministère de la Justice néerlandais, ce type de partenariat n’échappera pas au Cloud Act, quand bien même le siège de ces sociétés se situe dans l’UE. Le Cloud Act permet à la justice et au renseignement américain d’accéder aux données des entreprises américaines dans un souci de sécurité nationale, peu importe leur localisation.
De fausses promesses ?
Qu’à cela ne tienne ! “Bleu” et “S3NS”, peuvent-être rejoints par l’offre Amazon-Atos, maintiennent leur objectif pour l’horizon 2024. Bien conscients de ces problématiques, tout porte à croire bientôt que ces opérateurs devraient faire preuve de créativité pour se prémunir de tout risque et passer le test de l’ANSSI. Il y a fort à parier, par exemple, qu’aucun Américain ne sera embauché dans ces structures.
En attendant, et malgré l’incertitude, ces “cloud de confiance” en devenir essaient de faire le plein de clients. Une stratégie marketing qui n’est pas au goût de tous. “S3NS” s’est notamment doté d’une pluie de critiques après avoir mis en avant, sur sa page d’accueil, l’expression “Cloud. De confiance.”, quand bien même son offre n’était pas encore qualifiée.
Dans un courrier envoyé en début juin à la CNIL et à l’ANSSI, le député Philippe Latombe a exhorté les deux autorités à se pencher sur cette “tentative d’enfumage», reprochant à l’entreprise de faire du marketing agressif et trompeur et «d’induire les acheteurs en erreur”.
“En cas de fausses promesses de confiance, nul doute que la DGCCRF sera rapidement saisie pour mettre les points sur les i. Les promotions marketing, fondées sur aucun élément tangible ni structure juridique pendant plus d’un an, de BLEU et de S3NS, ont servi de leçon”, a nommé un acteur de l’écosystème à L’Usine Digitale, appelant à rester “vigilant pour que l’usage du label ne soit pas dévoyé”.
