Technologies

Bleu et S3NS face au risque de la coupure

C’est Guillaume Poupard, lors de son audition devant une commission d’enquête du Sénat, qui a soulevé la question de la dépendance des cloud de confiance aux mises à jour de leurs parrains américains. (Photo : Sénat)

Les cloud de confiance le sont-ils vraiment ? Leur dépendance aux technologies américaines cache, en effet, une faiblesse intrinsèque. En cas de rupture transatlantique, combien de temps pourraient-ils continuer à opérer ? Et comment se protéger de ce risque ?

Publicité« Si, demain, les fournisseurs de technologies américains décident de ne plus fournir leurs technologies, ces systèmes s'effondreront très rapidement. On parle de jours ou de semaines ». Lors de son audition devant la commission d'enquête du Sénat, le 27 mai, Guillaume Poupard, actuel directeur général adjoint de Docaposte et ancien directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a pointé du doigt une faiblesse intrinsèque des cloud dits de confiance. Ces offres, S3NS et Bleu pour la France, reposent en effet sur des technologies d'hyperscalers, respectivement Google et Microsoft, tout en étant hébergés par des sociétés françaises, contrôlées par des groupes hexagonaux (respectivement Thales d'un côté, Capgemini et Orange de l'autre).

Certes, le risque d'interruption du service est souligné par celui qui représente désormais les intérêts d'une société qui conçoit une offre cloud concurrente de Bleu et S3NS (Numspot), mais son analyse est corroborée par Vincent Strubel, actuel directeur général de l'Anssi, entendu le lendemain par la même commission. Si ce dernier confirme que « rien ne s'oppose » à la qualification SecNumCloud de Bleu par exemple - le montage capitalistique permettant notamment de cocher la case de l'immunité au droit extraterritorial -, le lien avec Microsoft soulève d'autres interrogations. « Est-ce que ça remplit un objectif de non-exposition à des dépendances aux technologies américaines ? Evidemment que non. Est-ce qu'il faut se poser la question de notre dépendance quasi-exclusive à un certain nombre de technologies ? Evidemment que oui », a lancé Vincent Strubel aux sénateurs de la commission.

La défense de Bleu

De fait, cette question a été mise sur le devant de l'actualité avec la coupure de la messagerie du procureur général de la Cour pénale internationale, Karim Khan, suite aux sanctions de Washington à l'encontre du personnel de la CPI. Même si Microsoft assure ne pas être à l'origine de cette suspension des accès (voir encadré), l'événement a suscité pas mal d'interrogation. « Dans le contexte géopolitique actuel, qu'on n'imaginait pas il y a quelques années, on se rend compte qu'il peut y avoir des décisions politiques extrêmement fortes interdisant la diffusion de technologies », a souligné Guillaume Poupard, lors de son audition.
Sollicité par la rédaction, Jean Coumaros, le président de Bleu, n'élude pas le fait que l'hypothèse d'une coupure de l'accès aux technologies Microsoft figure dans l'analyse de risques de Bleu : « ce risque a même été surpondéré ces derniers mois, même s'il reste extrêmement improbable ».

PublicitéSi un risque systémique existe donc, un client spécifique de Bleu ne pourrait, lui, pas être ciblé, selon Jean Coumaros : « Microsoft n'a pas connaissance de nos clients et des utilisateurs travaillant pour ceux-ci, assure le dirigeant. Admettons que l'administration américaine ait une entreprise européenne dans le collimateur, elle n'aurait aucun moyen de savoir si celle-ci est cliente chez nous, ni aucun accès à nos environnements. Et l'éditeur n'étant ni au capital, ni présent au sein de la gouvernance, il ne dispose d'aucune espèce de moyen de pression sur notre société. »

Coffre-fort en Suisse : le dernier recours

Ou plutôt un seul : l'arrêt de toute fourniture des mises à jour, permettant à Bleu ou à son équivalent allemand Delos de proposer des offres de cloud de confiance sur base de technologies Microsoft. « Dans ce scénario, qui reste difficile à imaginer même dans le contexte actuel, le service ne s'arrête pas du jour au lendemain. Je ne pense pas que Bleu pourrait continuer à opérer ses services pendant des années ou des décennies sans mises à jour, mais durant des mois absolument ! », défend Jean Coumaros. Par ailleurs, Bleu rappelle être lié à Microsoft par un contrat de 10 ans renouvelable, intégrant la mise à disposition de mises à jour évolutives et correctives dans un sas. « Nos équipes inspectent ensuite ces mises à jour et en assurent le déploiement », précise Jean Coumaros.

Pour pallier cette hypothétique rupture avec ses partenaires européens, Microsoft a annoncé, fin avril, un improbable dispositif de continuité des activités, reposant sur le dépôt de copies de sauvegarde du code des logiciels de l'éditeur dans un coffre-fort numérique, en Suisse. « Nous garantirons à nos partenaires européens les droits légaux nécessaires pour accéder à ce code et l'utiliser si cela s'avère nécessaire », écrit le président de l'éditeur, Brad Smith, dans un billet de blog. Selon Jean Coumaros, ce dispositif vise précisément à pallier toute rupture dans la fourniture des mises à jour, qui finirait par altérer les services des partenaires de la firme de Redmond. « Le dispositif est en cours de conception. Bleu aurait vocation à en bénéficier », dit le président de Bleu.

Une certification SecNumCloud début 2026

Bleu a démarré sa phase de prospection et de commercialisation début 2024 et vise une certification SecNumCloud 3.2 plutôt au cours du premier semestre 2026, soit un léger décalage par rapport à son calendrier initial qui ciblait plutôt 2025. La société a validé, en avril, l'entrée d'un catalogue de services IaaS, PaaS et CaaS dans le processus de certification de l'Anssi.

Coupure des accès de la CPI : Microsoft a parlé, pas agi

Le 15 mai dernier, Associated Press assurait que Karim Khan, le procureur de la Cour pénale internationale (CPI), avait vu son compte mail fermé par Microsoft, du fait des sanctions américaines le visant. L'agence de presse expliquait que le procureur avait été contraint de migrer vers Proton Mail. L'affaire a eu un retentissement important, illustrant les conséquences technologiques d'un désaccord politique avec l'administration Trump. Les sanctions américaines menaçant toute personne, institution ou entreprise d'amendes et de peines de prison en cas de « soutien financier, matériel ou technologique » à Karim Khan.

La Cour pénale internationale à la Haye. Microsoft assure ne pas être directement à l'origine de la coupure de l'accès mail de son procureur, Karim Khan. (Photo : CPI)

Microsoft nie toutefois être à l'origine de la coupure des accès du procureur. Dans une audition devant la commission d'enquête du Sénat sur la commande publique, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a assuré, le 10 juin, que la coupure en elle-même n'est pas du fait de Microsoft. « Nous n'avons jamais coupé, ni suspendu les services de la CPI, a indiqué le responsable de l'éditeur. Nous ne sommes intervenus que dans le cadre d'un dialogue avec la CPI, pas en acte. »

Les déclarations de Microsoft sur ce sujet sensible semblent indiquer que l'éditeur pourrait avoir poussé la Cour de La Haye à agir préventivement, par exemple pour éviter que l'administration américaine ne mette la main sur les données de Karim Khan stockées dans sa messagerie.