Cloud
Pourquoi le label SecNumCloud n’est plus une option
Par Thierry Derouet, publié le 15 janvier 2024
À défaut d’un équivalent européen, le label SecNumCloud de l’ANSSI s’impose de plus en plus comme une évidence pour les acteurs français, la section 702 de la loi FISA (« Foreign Intelligence Surveillance Act ») restant au moins en vigueur jusqu’au 19 avril 2024. Explications.
Question : « Pourquoi devrions-nous à nouveau faire confiance au FBI et au ministère de la Justice pour s’autosurveiller dans le cadre de la FISA, alors qu’ils nous ont montré à maintes reprises, pendant plus d’une décennie, qu’on ne pouvait pas leur faire confiance ? »
De tels propos tenus par un sénateur américain, Mike Lee, résument à eux seuls la problématique qu’a posé l’accord d’adéquation signé entre les US et la Commission européenne le 10 juillet 2023 afin de donner de nouveau son feu vert pour le transfert de données personnelles vers les États-Unis.
Une section 702, au moins effective, jusqu’au 19 avril 2024
Rappelons que la législation américaine qui confère aux agences de renseignement telles que la CIA, le FBI et la NSA le droit d’accéder aux communications privées d’individus non-américains vivant hors des États-Unis, y compris les citoyens européens, a été prolongée. Initialement prévue pour expirer le 31 décembre 2023, la section 702 de la loi FISA (« Foreign Intelligence Surveillance Act »), une composante clé de la surveillance internationale, continuera donc d’être effective jusqu’au 19 avril 2024. Cette continuation, décidée le 14 décembre par le Congrès américain, fait suite à des débats intenses et à l’incapacité des législateurs à s’accorder sur une réforme de cette loi pourtant maintes fois controversée. D’après NBC News, le FBI aurait recherché à tort des informations dans une base de données américaine de renseignements étrangers plus de 278 000 fois en 2020 et au début de 2021…
Apprendre à chausser les bonnes lunettes
Dès lors comment croire que pour la Commission, les protections en place aux États-Unis sont désormais assez solides et comparables à celles de l’Union européenne ? Au point de pouvoir de nouveau envoyer des données outre-Atlantique sans avoir besoin de mesures supplémentaires. Et ce même sous certaines conditions.
À LIRE AUSSI :
Sur quoi repose l’accord d’adéquation ?
La décision d’adéquation est un verdict de la Commission européenne qui confirme qu’un pays extérieur à l’UE, ou une organisation internationale offrent un niveau de protection des données suffisant selon les normes du RGPD.
Pour prendre cette décision, la Commission examine plusieurs facteurs, comme les lois du pays en question, l’existence d’organismes de régulation indépendants et les accords internationaux que le pays a signés.
Si une telle décision est en place, les entreprises de l’UE peuvent transférer des données vers ce pays sans mesures supplémentaires. À défaut, comme le rappelle la CNIL, des “garanties appropriées” doivent être mises en œuvre, comme spécifié dans l’article 46 du RGPD.
Ces décisions sont obligatoires pour tous les États membres de l’UE, conformément à un précédent jugement de la Cour de justice de l’Union européenne (CJUE), connu sous le nom d’arrêt Schrems I.
En juillet 2020, la CJUE a donc annulé l’accord de transfert de données entre l’UE et les États-Unis, connu sous le nom de Privacy Shield. La Cour a estimé que les lois américaines sur la surveillance violaient les droits à la vie privée des Européens.
Des inquiétudes exprimées de nouveau
En réponse, le président américain Joe Biden a signé un décret en octobre 2022 pour améliorer la protection des données. Ce nouveau cadre a été examiné par la Commission européenne et soumis pour avis au Comité européen de la protection des données (CEPD), qui a reconnu des améliorations tout en exprimant certaines inquiétudes.
Un décret présidentiel US bien fragile
Cet accord repose donc en grande partie sur ce décret présidentiel. Le problème ? Ce décret peut être modifié ou annulé par une future administration. C’est un risque non négligeable, surtout dans le contexte politique volatile des États-Unis. Et tant que cette fameuse Section 702 de la FISA permet une large surveillance, il y a lieu d’être plus que prudent.
Le renard surveille le poulailler
Conséquence pour le RGPD, le nouvel accord permet aujourd’hui aux entreprises américaines de s’autocertifier pour dire qu’elles respectent les règles. Mais attention, il n’y a aucun mécanisme clair pour le vérifier. Un délégué à la protection des données (DPO) a tout au plus la possibilité de vérifier si les données traitées sont autorisées par une fameuse liste du département du commerce étatsunien et de constater par exemple que Microsoft comme les autres éditeurs a un « Self-Assessment », donc est maitre de sa propre autoévaluation.
Section 702 mode d’emploi
Si vous êtes en charge de la gestion des données dans une entreprise, cette situation incertaine nécessite une vigilance accrue. Il incombe au DSI de comprendre les implications de la Section 702 et d’évaluer les risques associés pour son entreprise. Cela peut inclure une révision des politiques de stockage de données et des contrats avec les fournisseurs de services cloud. Les DSI peuvent envisager des solutions comme le chiffrement de bout en bout ou le stockage de données en dehors des États-Unis pour minimiser les risques. Ou à défaut d’un équivalent européen, de recourir à notre fameux “SecNumCloud”.
Une certification exigeante mais incontournable
Jusqu’ici la certification SecNumCloud 3.2. semblait aussi bien compliquée que coûteuse à obtenir. Elle l’est et le demeure. D’ailleurs comme le soulignait l’ancien Directeur général de l’ANSSI Guillaume Poupard (aujourd’hui Directeur général adjoint de Docaposte) lors d’une conférence sur NumSpot, la certification « n’est pas qu’un simple PowerPoint à présenter ». Mais elle devient aujourd’hui un rempart pour les entreprises construisant les briques d’un cloud de confiance devenu incontournable à l’instar des premiers fournisseurs à bénéficier du renouvellement d’un processus en continu accordé pour trois ans comme Outscale, la filiale cloud de Dassault Systèmes, où son PDG Philippe Miltin n’a pas hésité pas à mettre en exergue l’enjeu du sujet : « L’espionnage industriel est une réalité quotidienne ».
À LIRE AUSSI :
De nouveaux services IaaS et PaaS certifiés ou en cours de l’être
Depuis, c’est OVHcloud qui, arrivé en fin de cycle, a vu ses solutions “Hosted Private Cloud” (utilisées par environ 80 clients) être qualifiées “3.2” par l’ANSSI. Et à l’image des annonces déjà réalisées par NumSpot pour sa plateforme, intégrant les services managés Kubernetes “Vanilla”, OpenShift et base de données (SQL, NoSQL, Cache, Streaming & Messaging), OVH Cloud annonce vouloir étendre cette qualification pour une offre Bare Metal ainsi qu’à l’ensemble de son portefeuille de solutions issues de son Public Cloud comme Kubernetes, ses bases de données, sa “Data Platform” ou encore ses offres “AI Solutions” les plus récentes.
IA, hébergement pro, tout y passe !
Enfin, tandis que nous attendons toujours de nouveaux acteurs comme la filiale cloud public de Free, Scaleway, annoncer la certification de ses solutions (bénéficiant notamment d’une infrastructure d’IA des plus performantes avec son supercalculateur Nabu 2023 et de ses 1016 Nvidia H100), c’est Free Pro (ex Jaguar Network) qui prend les devants en annonçant que sa solution “Dedicated Secured Cloud” a commencé le processus de qualification SecNumCloud pour accompagner ses clients historiques comme la Gendarmerie Nationale ou la région Sud Provence Alpes Côte d’Azur.
Denis Planat, Directeur Général de Free Pro explique sa position : « Nous voulons apparaitre comme maitrisant les meilleurs standards du marché. Nos clients, ceux du marché public qui aujourd’hui représentent 20% de notre CA, exigent ce genre de certification. Mais pour nous cela nous a semblé naturel. »
Un naturel qui a un cout : le processus de certification demande entre 18 er 24 mois. Et Denis Planat d’indiquer que ce « processus de qualification donne les idées claires » avec un pari : « il est de notre mission de démocratiser les solutions SecNumCloud. »
Ce n’est plus une option
Reste que pour un DSI, tiraillé entre des obligations légales et ses développeurs habitués à travailler sur certains environnements, il lui faut choisir son camp. Mais a-t-il le choix pour ses opérations opérées en local dès lors où la sécurité des données n’est pas une option ? Toujours en attente de certification, les co entreprises telles que S3NS (Thales/Google) et Blue (Capgemini/Orange/Microsoft) se font attendre.
La sécurité des données à un prix. Et à l’heure où la puissance de l’IA révèle le véritable enjeu de la data, il est peut-être plus que temps de ne pas hésiter. Avec une nuance : le cloud n’est pas binaire, il est hybride et peut n’être qu’en partie SecNumCloud.