Stratégie

Microsoft, Google, AWS, etc. : les DSI face au risque de la coupure

La Cour pénale internationale à La Haye (Pays-Bas). L’institution vient d’essuyer une nouvelle salve de sanctions visant quatre de ses officiels. Sanctions qui concernent, par ricochet, les fournisseurs IT de la Cour. (Photo : D.R.)

De nouvelles sanctions américaines, mais aussi européennes illustrent les risques qu'embarquent les contrats cloud, les fournisseurs se trouvant contraints de se plier aux injonctions des Etats dont ils dépendent.

PublicitéRebelote. Les Etats-Unis viennent de prendre de nouvelles sanctions contre quatre officiels de la Cour pénale internationale (CPI). Deux juges, dont le Français Nicolas Guillou, ainsi que deux procureurs adjoints de l'institution de La Haye ont été placés, le 20 août, sous sanction par le département d'Etat américain. En cause, les enquêtes de la juridiction contre des militaires américains en Afghanistan, pour un des juges, et les mandats d'arrêt émis en novembre 2024 à l'encontre du Premier ministre israélien Benyamin Netanyahou et de son ancien ministre de la Défense, pour le juge français et les deux procureurs adjoints.

Les conséquences pour ces quatre officiels ? En plus d'une interdiction d'entrée aux Etats-Unis et d'un gel de leurs éventuels avoirs sur place, les quatre cibles de la vindicte américaine ne doivent plus avoir accès à « des fonds, biens ou services » fournis par des entités ou citoyens américains (sauf licence spécifique). Ce qui, donc, semble inclure les services numériques que fournissent les Microsoft, Google et autre AWS.

Le procureur de la CPI coupé de ses mails

En février dernier, le procureur de la CPI, Karim Khan, avait brutalement perdu les accès à sa messagerie Microsoft du fait des sanctions américaines prises à son encontre, basculant sur alors sur Proton Mail. Microsoft, devant une commission d'enquête du Sénat français et encore récemment par la voix de son président Brad Smith, a nié être à l'origine de cette interruption de service, se refusant toutefois à détailler le processus qui a conduit au changement d'adresse e-mail du procureur Khan.

Cette multiplication des sanctions à l'égard d'officiels d'institutions européennes - quatre autres juges de la CPI ayant encore été visés par les Etats-Unis en juin dernier - confronte les DSI à un risque hier encore considéré comme abracadabrantesque : la coupure brutale de certains accès à des services numériques fournis par des sociétés américaines. Surtout compte tenu de la portée extraterritoriale du droit des Etats-Unis, qui leur a par exemple permis de condamner des banques étrangères hébergeant les avoirs d'entités sous sanction, sur la base de l'existence d'une filiale américaine ou d'une transaction effectuée en dollars.

Microsoft coupe les accès d'une société indienne

Signalons d'ailleurs que cette pratique visant à faire pression sur des fournisseurs essentiels pour faire plier une partie tierce n'est pas un jeu réservé à l'Amérique de Trump. Fin juillet, le géant indien de l'énergie Nayara Energy, dont le géant russe Rosneft est actionnaire à hauteur de 49%, a lancé une action en justice dans son pays contre Microsoft pour avoir interrompu tous les services payants qu'il lui fournissait sans préavis. Un blocage de services qui apparaît, en réalité, comme une conséquence des sanctions prises par l'Union européenne (UE) à l'encontre de la Russie, Nayara étant de facto sous contrôle d'intérêts russes.

PublicitéDans un communiqué, Nayara Energy, dont l'autre actionnaire est un fonds immatriculé à Chypre, fonds co-détenu par une société russe, explique : « Microsoft restreint actuellement l'accès de Nayara Energy à ses propres données, outils propriétaires et produits, bien que ceux-ci aient été acquis dans le cadre de licences entièrement payées. Cette décision, fondée uniquement sur l'interprétation unilatérale par Microsoft des récentes sanctions de l'Union européenne (UE), crée un dangereux précédent en matière d'abus de pouvoir des entreprises et soulève de sérieuses préoccupations quant à ses implications pour l'écosystème énergétique indien. »

La question de la propriété des données

Pour Erik Avakian, conseiller technique au sein du cabinet Info-Tech Research Group et ancien RSSI l'État de Pennsylvanie, « le fait de dépendre d'un seul fournisseur soulève de nombreuses questions concernant les perturbations opérationnelles [possibles aujourd'hui] ». Et de souligner la « position étrange » - pour ne pas dire inconfortable - de Microsoft dans ce nouvel environnement instable.

De son côté, Robert Grimes, évangéliste au sein du spécialiste de la gestion des risques Know4Be, estime que « les directeurs informatiques doivent examiner leurs contrats actuels et futurs à la lumière de ce type de perturbation. Il s'agit d'un événement d'un genre nouveau qui doit désormais être pris en compte lors de la signature de contrats de services cloud. » Selon lui, l'une des conséquences les plus stressantes de ce type de perturbations réside dans la perte de l'accès à ses propres données. « Cet exemple illustre pourquoi il est extrêmement important que les clients comprennent qui est propriétaire des données et s'ils ont toujours accès aux données stockées sur un système cloud lorsque leur abonnement est résilié, dit Robert Grimes. Il n'a jamais été aussi important de prêter attention au dicton selon lequel le cloud signifie l'utilisation de l'ordinateur de quelqu'un d'autre. »