LEBIGDATA.FR I.A, Cloud & Cybersécurité
En milieu de semaine, AWS a organisé une conférence de presse afin d'évoquer le CLOUD Act. Le CSP américain souhaite rassurer ses clients français quant aux impacts de cette législation.
Depuis son introduction, le CLOUD Act provoque la peur. Certains gouvernements et certaines entreprises se sentent menacés par cette loi promulguée l'année dernière.
Pour rappel, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) est un règlement appliqué aux États-Unis. Il modifie le Stored Communication Act de 1986 en vue de permettre aux forces de l'ordre fédérales, locales et municipales d'assigner par mandat les hébergeurs américains. Dans ce cadre, ils doivent leur remettre les données d'un suspect stockées sur leurs serveurs installés dans ce pays ou à l'étranger.
Les entreprises et gouvernements européens considèrent que le texte permet aux autorités américaines d'accéder à des informations électroniques sensibles sur leur sol par l'entremise de procédures pénales. Ce serait un outil de surveillance généralisée.
CLOUD Act : le retour du cloud souverain poussé par la peur de l'espionnage
En ce sens, l'Allemagne, la France, et la Suède se sont récemment prononcées pour l'adoption de solutions européennes de Cloud Computing. Afin de résoudre ce « problème », ces pays déploient l'offre de NextCloud et souhaitent mettre fin à leurs contrats avec les fournisseurs comme AWS, Microsoft ou Google.
NextCloud, ce fournisseur allemand développe une couche logicielle libre permettant de contrôler des fichiers, de les synchroniser et de les gérer au sein d'un cloud privé, donc sur site. Il facture à l'année l'aide à l'installation, le support et la maintenance suivant le nombre d'utilisateurs.
En France, cette annonce précède la remise le 26 juin 2019 du rapport « Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale » dirigé par le député de Saône-et-Loire Raphaël Gauvain.
Dans la synthèse de ce document, on peut lire : « les entreprises françaises ne disposent pas aujourd'hui des outils juridiques efficaces pour se défendre contre les actions judiciaires extraterritoriales engagées à leur encontre, que ce soit par des concurrents ou par des autorités étrangères. Elles sont dans une situation de très grande vulnérabilité, les autorités françaises donnant depuis de longues années le sentiment de la passivité et l'impression d'avoir renoncé ».
La mission propose notamment de renforcer les lois françaises et le GDPR, un règlement européen, afin de mieux protéger les entreprises françaises de leurs concurrentes.
Les forces de l'ordre ne pourraient déchiffrer les données cryptées
Un tel contexte peut effrayer les sociétés clientes des géants du cloud dont la grande majorité opère depuis les États-Unis. Afin de clarifier les conséquences du CLOUD Act, AWS a organisé une conférence adressée aux journalistes français. Stephan Hadinger, Head of Technology chez AWS, Dominic Trott, Associate Research Director, European Security, chez IDC Group et Théodore Christakis, professeur de droit international à L'Université Grenoble Alpes, membre de l'Institut Universitaire de France sont intervenus en ce sens.
Dominic Trott a d'abord incité les personnes à lire un petit article rédigé par IDC et sponsorisé par AWS. Son titre ? « Ne soyez pas effrayé par le CLOUD Act ».
Ce document rappelle que les forces de l'ordre ont besoin d'un mandat signé par une cour de justice. Il doit être en conformité avec cette loi ou avec les accords bilatéraux établis avec les pays concernés pour récupérer des données. De plus, il précise que les hébergeurs ne sont pas seulement les fournisseurs de cloud, mais toutes structures qui stockent les informations de l'individu ciblé par le CLOUD Act.
Par ailleurs, aucun élément de cette loi n'oblige à confier les clés de chiffrements d'un fichier protégé par l'utilisateur. Et les forces de l'ordre ne disposent pas de « décodeur magique » pour accéder aux données. « L'encryption est votre amie », déclare Dominic Trott.
Stephan Hadinger affirme que c'est impossible dans le cas où les clients s'équiperaient des Hardware Security Module, des systèmes matériels de protection fournis par AWS. « Il n'y a aucun moyen technique pour extraire les clés », assure-t-il. « Si un juge nous les réclame, nous ne pourrions pas les lui confier ».
Le directeur de recherche chez IDC a donc rappelé quelques consignes que les entreprises peuvent appliquer afin d'éviter l'accès aux données. Outre une vérification légale, Dominic Trott leur recommande de calibrer le niveau de traitement des informations auprès des partenaires et des tiers. De même, il considère que les fournisseurs de cloud peuvent aider leurs clients à chiffrer et à gérer les clés de protection. Enfin, il invite les entreprises à appliquer le principe de privacy by design, un concept présent au sein du RGPD.
Le CLOUD Act vise les criminels, pas les entreprises
De son côté, Théodore Christakis a tenu à rappeler les objectifs du CLOUD Act : c'est un outil légal pour lutter contre la criminalité. Dès la première de la deuxième page, les rédacteurs de la loi précisent :
« L'accès en temps opportun aux données électroniques détenues par les fournisseurs de services de communication est un élément essentiel des efforts déployés par le gouvernement pour protéger la sécurité publique et combattre les crimes graves, y compris le terrorisme ».
« Selon un rapport de la Commission européenne publié l'année dernière, dans plus de 85 % des cas, vous avez besoin d'accéder à des preuves numériques pour les résoudre », affirme le professeur de droit international. « Le plus souvent, ces éléments comme des mails, des photos, des messages sur les réseaux sociaux sont hébergés dans une autre juridiction, un autre pays. Cela oblige les forces de l'ordre de faire une demande via le traité d'assistance judiciaire mutuelle, ce qui prend en moyenne 10 mois ».
Le Cloud Act vient répondre en partie à ce problème tout comme le projet de règlement E-Evidence introduit par la Commission européenne. De plus, la législation américaine oblige à fournir des « causes probables » d'un crime. Les policiers doivent déjà détenir suffisamment d'éléments de preuve contre un suspect avant de réclamer un mandat.
« Sur une période d'un an, nous avons reçu 25 requêtes en provenance des forces de l'ordre américaines. La plupart d'entre elles ciblaient des clients américains, aucune ne concernait des entreprises cotées, et aucune de ces demandes ne visait des clients français », a assuré Stephan Hadinger.
Par ailleurs, Théodore Christakis insiste sur le fait que cette loi est en conformité avec la Convention internationale de Budapest, et qu'elle n'est pas « un instrument de surveillance ». Un juge ne peut pas partager les informations sensibles d'une entreprise piratée, par exemple. En cas d'abus, les hébergeurs peuvent s'opposer légalement à la récupération des données.
Alors, à qui profitent ces doutes ? IDC estime que les fournisseurs locaux jouent des coudes arguant que les géants du cloud ne peuvent pas protéger leurs clients. Évidemment, les gouvernements soucieux de leur souveraineté sont tentés de les croire. Dans un même temps, qu'AWS organise une telle rencontre entre experts et journalistes révèle que l'entreprise a besoin de rassurer ses clients et ses prospects français.
- Partager l'article :
