Depuis son entrée en vigueur en mars 2018, le Cloud Act fait frémir de nombreuses entreprises françaises. Leur hantise : que cette réglementation permette à des agences gouvernementales (CIA, NSA...) d'accéder en toute discrétion à leurs données sauvegardées dans des datacenters de fournisseurs étrangers, GAFAM en tête. Cette peur, alimentée par les craintes de membres du gouvernement aussi bien que des acteurs comme Hexatrust ou encore Outscale serait-elle en fait démesurée ? Pour tenter de répondre a cette épineuse question, AWS et IDC ont réuni la presse à l'occasion d'un point autour de la sécurité et de la conformité pour déminer le terrain et renouer la confiance des entreprises envers les clouds étrangers.
« Le Cloud Act n'est pas un outil de surveillance des agences américaines mais est juste pour les investigations criminelles », a assuré Théodore Christakis, professeur de droit international à l'Université Grenoble Alpes invité par AWS à l'occasion de ce point. « Le Cloud Act n'est pas un outil pour marchander des secrets industriels ». Entre les lignes, les entreprises n'auraient donc pas à craindre que les agences et forces de l'ordre outre Atlantique viennent fouiller dans leurs données à partir du moment où elles ne seraient en aucune façon liées, de près ou de loin, à des affaires criminelles... « Sur les 12 derniers mois, nous avons reçu 25 requêtes en provenance des forces de l'ordre américaines, la plupart visait des clients US, aucune ne concernait des organisations publiques, cotées et aucune ne visait des entreprises françaises », a par ailleurs fait savoir Stéphane Hadinger, responsable des technologies AWS, qui n'en n'a pas dit plus sur le sujet malgré notre insistance.
Les clés de chiffrement encapsulées dans un Hardware Security Module réputées inviolables
Quand bien même agences gouvernementales et forces de l'ordre américaines auraient les moyens d'accéder aux données des entreprises françaises détenues dans des clouds américains, ces dernières bénéficient d'un verrou de sécurité présenté comme quasiment inviolable. « Il n'y a pas une sorte de décodeur magique des forces de l'ordre pour déchiffrer les données avec le Cloud Act », a ainsi lancé Dominic Trott, directeur de recherche associé en sécurité européenne chez IDC. Et Stéphane Hadinger d'abonder : « On fournit à nos clients des outils pour sécuriser leurs données, le chiffrement est l'un d'entre eux [...] quand les clients chiffrent les données sur AWS on utilise des mécanismes techniques HSM (Hardware Security Module) rendant impossible l'extraction de clés. La localisation physique n'a que peu d'importance, seul le responsable sécurité pourra gérer les clés ».
Pour achever de rassurer les entreprises françaises qui regarderaient d'un oeil méfiant le fait de rendre leurs données inexploitables par un tiers juste en cochant une case dans les paramètres de leur console AWS, le fournisseur cloud américain rappelle qu'il laisse la possibilité d'externaliser la gestion des clés de chiffrement en dehors de son infrastructure. Par exemple, AWS travaille avec des partenaires dans le monde comme Thales pour déléguer la gestion de ces clés à des tiers de confiance. Or, si les fournisseurs, dans le cadre d'une requête identifiée comme légale et légitime, sont tenus de livrer les données à des agences et forces de sécurité américaines, aucune réglementation ne les contraint à les déchiffrer. « Techniquement c'est juste impossible pour nous de donner les clés », assure Stéphane Hadinger.
La vérité sur le Cloud Act étouffée ?
Alors qu'AWS - mais également les autres grands fournisseurs clouds américains dont Microsoft et Google - essaient par tous les moyens de montrer patte blanche dans leur capacité à mettre tout en oeuvre pour sécuriser les données de leurs clients, en France, certains n'hésitent pas à soulever le tapis. « Pour la première fois, nous nous sommes rendu compte que les problématiques GAFAM, leur omniprésence sur les offres de services utilisés au quotidien par les citoyens européens, pouvaient aussi poser des problèmes en termes de liberté d’expression et de pluralité. Quand certaines organisations professionnelles refusent d’évoquer le Cloud Act parce que ça peut fâcher des adhérents, ou que nous avons des tribunes faites par de grands dirigeants qui ne disent pas la réalité des choses et ont tendance à minimiser le Cloud Act, dans un mode « circulez y a rien à voir », je dis que c’est grave », avait signalé dans nos colonnes Olivier Iteanu, vice président d'Hexatrust.