SecNumCloud, une protection contre le droit extraterritorial, pas une garantie absolue
Le directeur général de l'Anssi explique pourquoi les cloud dits de confiance sont éligibles au SecNumCloud et les protections que la certification offre face aux législations extraterritoriales. Sans en occulter les limites.
PublicitéDans un post publié sur LinkedIn, Vincent Strubel, le directeur général de l'Anssi (Agence nationale de la sécurité des systèmes d'information), tente d'éteindre une polémique naissante autour de la qualification SecNumCloud de S3ns, en décembre dernier, et celle, annoncée, de Bleu. Deux fournisseurs de cloud qui sont certes portées par des sociétés de droit français, mais qui dépendent technologiquement des solutions d'hyperscalers américains, respectivement Google et Microsoft. Des cloud dits de confiance que Vincent Strubel rebaptise en cloud hybrides dans sa publication.
Après avoir rappelé que la qualification SecNumCloud reposait sur des critères objectifs et découlait d'un processus d'évaluation formalisé - bref que ce n'était pas « une médaille en chocolat » ou le fruit d'une décision politique -, le directeur général de l'Anssi souligne les exigences du label concernant l'immunité aux législations extraterritoriales : prestataire européen (en termes de siège social et de capitalisation), absence d'accès aux données des sous-traitants ou fournisseurs non européens et autonomie dans l'exploitation de la solution. « Cela ne signifie pas que le prestataire a écrit 100% du code qui tourne dans son cloud, mais qu'il est capable de le faire tourner avec ses ressources et compétences propres, sans intervention extérieure », précise Vincent Strubel.
Kill switch : une protection... pendant un certain temps
Selon ce dernier, avec de telles exigences, SecNumCloud protège les entreprises et administrations de deux risques majeurs. L'accès aux données par une autorité extraterritoriale tout d'abord. Le directeur général de l'Agence estime que le contrôle des données par une entité européenne et elle seule, et ce que cela implique sur la localisation des dirigeants et l'origine des capitaux, « offre une bonne garantie que le prestataire ne suivra pas une injonction d'une autorité non européenne affectant ses clients européens, en tout cas pas sans la contester en en référant aux autorités nationales et européennes ». Vient ensuite la question de la protection contre le kill switch, autrement dit la capacité d'un Etat tiers à priver des organisations européennes d'un service, l'expérience récemment vécue par des magistrats de la Cour pénale internationale frappés par des sanctions américaines. « Là aussi, SecNumCloud offre une protection contre ce risque de coupure brutale : le prestataire européen n'est pas tenu de donner suite à une injonction de cette nature, et pour être qualifié il a dû démontrer son autonomie dans l'exploitation de la technologie », assure Vincent Strubel.
PublicitéMais ce dernier reconnaît que cette protection reste partielle, en tout cas limitée dans le temps, comme l'avait déjà souligné le prédécesseur de Vincent Strubel à la tête de l'Anssi, Guillaume Poupard, lors d'une audition au Sénat. « Une qualification SecNumCloud ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s'appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers, rappelle Vincent Strubel. Une coupure de l'accès à ces fournisseurs, et aux mises à jour associées, entraînerait une dégradation progressive du niveau de sécurité. »
Aucune réponse parfaite, même l'Open Source
Pour le directeur général de l'Anssi, cette question de la dépendance à la technologie - majoritairement américaine - ne se limite toutefois pas aux cloud de confiance ou hybrides, selon la terminologie qu'il privilégie. « Toutes les offres de cloud, "hybrides" ou non, dépendent de composants électroniques (CPU, GPU, etc.) et logiciels (systèmes d'exploitation, bases de données, couches d'orchestration, ...) dont la conception ou la mise à jour ne sont pas maîtrisées à 100% en Europe », rappelle Vincent Strubel. Et, selon lui, même l'Open Source n'apporte qu'une réponse partielle à cette problématique : « aucun acteur, Etat ou entreprise, ne maîtrise entièrement, et ne peut prétendre forker et maintenir en autarcie toute la stack technologique du cloud, depuis le noyau Linux jusqu'à Openstack, PostgreSQL etc., en passant par les milliers de modules python, javascript ou autre sans lesquels rien de tout cela ne fonctionne vraiment », écrit-il.
Et le directeur général de l'Anssi d'évoquer une hypothèse qu'on ne peut désormais plus totalement écarter : voir une organisation européenne voire un Etat de l'Union privé de l'accès à la technologie américaine. Dans ce cas, pour Vincent Strubel, « nous aurons un problème global de dégradation du niveau de sécurité en l'absence de mises à jour, dans le cloud comme ailleurs. Mais imaginer que ce problème serait limité aux offres de cloud "hybrides", ou même d'ailleurs aux seules offres de cloud, est une pure vue de l'esprit qui ne résiste pas à la confrontation aux faits. »
Rappelons que SecNumCloud a été conçu à l'origine comme une certification de sécurité pour les offres cloud. Ce n'est qu'en 2022 que le label s'est enrichi, dans sa version 3.2, d'obligations en matière d'immunité aux lois extraterritoriales.
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire