Your browser does not support JavaScript!

Cloud et souveraineté des données, l’actualité Microsoft / ANSSI du point de vue des collectivités

Dans le contexte géopolitique actuel, la question de la souveraineté des données est au cœur des préoccupations des décideurs et acteurs publics.

Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, était entendu le 10 juin par une commission d’enquête sénatoriale sur les coûts et modalités effectifs de la commande publique.

À la question sur la garantie de non transmission des données des citoyens français, suite à une injonction du gouvernement américain « sans l’accord explicite des autorités françaises », Anton Carniaux a répondu sous serment : « Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit ».

Cette fragilité juridique du cloud Azure en raison des lois extraterritoriales – que l’on peut raisonnablement étendre aux clouds publics AWS et GCP – pousserait donc à privilégier un chiffrement systématique des données côté client.

Cependant, Vincent Strubel, directeur général de l’ANSSI, qui était également auditionné par la commission d’enquête, a rappelé qu’il n’y avait pas d’autre solution pour se protéger du droit à portée extraterritoriale que d’utiliser des produits qui n’y sont pas soumis. « Le chiffrement, la localisation des données et l’anonymisation, ça complique peut-être les choses, mais ça ne rend pas impossible la captation des données », avait ainsi déclaré le directeur de l’ANSSI.

Ces déclarations semblent appuyer le consensus politique qui se dégage aujourd’hui : seules les offres labellisées SecNumCloud (ANSSI) ou équivalent européen devraient in fine accueillir les données sensibles du secteur public. La course à la certification n’est donc pas prête de ralentir, pour les entreprises françaises (OVH, Scaleway, Clevercloud…) comme pour les géants “hyperscalers” américains (Bleu pour Microsoft, S3NS pour Google, “Tactis” pour AWS).

Du point de vue des collectivités, quelles sont les questions essentielles pour assurer la sécurité des données ?

Le point de départ essentiel consiste à catégoriser les données mobilisées par sa structure : « Ouvert / Sensible / Critique ». Si les activités et données « Ouvertes » peuvent rester sur un cloud public classique, le « Sensible » doit aller sur un cloud de confiance, et le « Critique » rester sur site ou sur cloud privé.

Concernant la question des protections juridiques, il est pertinent de s’appuyer sur la labellisation SecNumCloud dans les appels d’offres, ou de compléter les cahiers des charges avec une clause « pas de loi extraterritoriale » et des clauses de réversibilité pour éviter les blocages ou surcoûts en fin de contrat.

Cependant, l’angle du droit n’est bien sûr le seul à considérer en matière de cybersécurité :

la réalité de la sécurisation des infrastructures et hébergements par les opérateurs mobilisés reste essentielle*.

La formation des agents est également un point crucial : la majorité des fuites de données proviennent encore d’erreurs humaines… pas du datacenter.

Enfin, le pilotage du risque cyber, qui ne se limite pas à la DSI et aux données, devient lui aussi de plus en plus central. La proposition portée par Villes Internet dans le cadre du 6e Congrès national des élus au numérique d’intégrer le  “risque cyber” dans le Plan Communal de Sauvegarde (PCS et PICS) va dans ce sens.

Cette question, mise en regard avec la transposition de la directive NIS-2, continuera d’être abordée à l’occasion des prochains webinaires sur l’engagement “Prévenir et réduire durablement les risques numériques” de l’association.

 


* : Pour aller plus loin, voir la publication 2025 de l’ANSSI sur l’état de la menace sur le cloud computing : une cartographie des enjeux auxquels les fournisseurs de services cloud et les organisations qui y ont recours devront faire face, ainsi que ses recommandations.

https://cyber.gouv.fr/actualites/lanssi-publie-son-etat-de-la-menace-sur-le-cloud-computingCouverture de la publication État de la menace sur le cloud computing

IMAGE D’ILLUSTRATION : Photo de Sasun Bughdaryan sur Unsplash

Par Michaël Bideault