Recevez chaque jour toute l'actualité du numérique

x

Le député Philippe Latombe conteste l'offre de "cloud de confiance" de Thales et Google

Thales et Google ont-ils le droit d'emprunter la terminologie "cloud de confiance" pour désigner leur future offre "S3NS" ?, demande le député Modem Philippe Latombe à la Cnil et à l'Anssi dans deux lettres. Il regrette également que les partenaires fassent la promotion d'une offre n'ayant pas encore reçu le label "SecNumCloud". Une question au gouvernement a également été posée. 
Twitter Facebook Linkedin Flipboard Email
×

Le député Philippe Latombe conteste l'offre de cloud de confiance de Thales et Google
Le député Philippe Latombe conteste l'offre de "cloud de confiance" de Thales et Google © Google Cloud

Le député Modem Philippe Latombe a adressé deux lettres le 4 juillet, l'une à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et l'autre à la Commission nationale de l'informatique et des libertés (Cnil), à propos de l'offre "S3NS" de Thales et Google Cloud. L'Usine Digitale a eu accès au contenu de ces lettres. 
 

Une mauvaise utilisation des termes

Il juge que l'utilisation par les partenaires du terme "cloud de confiance" est de nature à "induire les acheteurs en erreur sur le caractère exclusif de cette offre au regard eu égard au 'label Cloud de confiance'". Ce dernier s'inscrit dans la doctrine "Cloud au centre" présentée l'année dernière par le gouvernement. Elle prévoit la possibilité pour des "offres hybrides" d'être compatibles avec "le cloud de confiance", un label de sécurité qui inclut le respect du référentiel SecNumCloud". C'est l'Anssi qui est chargé de décerner ce précieux sésame en vertu d'une grille d'évaluation stricte.

Le député reproche aux entreprises de jouer sur la ponctuation : "Le Cloud. De Confiance. Pour la France". "Ce qui pourrait apparaître de prime abord comme une simple maladresse ou un manque d’inspiration, se comprend plus comme une tentative d’enfumage, surtout quand on pousse un peu plus loin la lecture", écrit-il dans sa lettre à l'Anssi.
 

Une sorte de publicité mensongère ?

Il regrette également que la communication de l'offre repose sur un élément hypothétique, soit l'obtention du label "SecNumCloud" avant le second semestre de 2024. "Un industriel de l'agroalimentaire n'a pas le droit de dire qu'il est bio s'il ne l'est pas : "achetez mes pâtes maintenant parce qu'elles seront bio demain". Bah non !", déclare-t-il. Contacté par L'Usine Digitale, Thales s'est défendu en arguant qu'il n'y avait "aucune ambiguïté". "S3NS fournira bien (dès 2024) une offre visant le label SecNumCloud pour un cloud de confiance (...) Cette offre est construite spécifiquement dans le but d’obtenir ce label", a ajouté l'entreprise. 

Philippe Latombe soulève plusieurs questionnements auxquels il attend des réponses de la Cnil et de l'Anssi : "est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?", "quelles garanties sont données par Thales sur sa réelle capacité à auditer le code source qui sera fourni par Google ?" et "quelle protection contre les backdoors pour éviter que les services américains ne bénéficient d'un accès détourné aux données hébergées ?".
 

S3NS n'hébergera pas des données classifiées

A propos des backdoors, Thales nous a précisé que "S3NS n'a pas pour objectif d’héberger des données classifiées (e.g. Secret, anciennement 'Confidentiel Défense'), pour lesquelles les solutions adaptées doivent répondre à d’autres exigences". De plus, "un ensemble de mesures de sécurité, conformes aux exigences SecNumCloud et complémentaires entre elles, ont été définies - notamment l’isolation physique et logique des données, le chiffrement, le contrôle des mises à jour, l’audit du code source, supervision par des sondes et un Security Operations Center (SOC) Thales qualifiés par l’Anssi, etc.", détaille-t-il. Encore, seule l'Anssi est apte à décider que ces mesures sont suffisantes à protéger les données hébergées par S3NS. 

Il demande aussi à la Cnil de prendre en compte toutes les conséquences de l'invalidation du Privacy Shield, ce texte qui permettait de transférer des données vers les Etats-Unis. La Cour de justice de l'Union européenne a décidé que la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain (même en dehors des Etats-Unis) qui était au coeur du litige.
 

Après Google Analytics, les offres hybrides ?

A cet égard, "je souhaite savoir si les offres de cloud hybrides sont conformes au RGPD ou pas", déclare le député citant une récente décision de la Cnil jugeant que Google Analytics ne l'était pas à cause des risques de transfert de données outre-Atlantique. "A mon sens, je pense que le même raisonnement juridique pourrait s'appliquer au cloud", juge-t-il.

Même problème pour l'offre "Bleu" d'Orange, Microsoft et Capgemini. Celle-ci devrait également être certifiée "SecNumCloud" en 2024, d'après les partenaires. Les termes employés seraient néanmoins moins problématiques. "Ils ne sont pas allés au bord des limites, estime le député. Là, Thales et Google ont fait ce que les Américains font le plus, c'est-à-dire aller au bout du bout du bout de ce qu'ils pensaient pouvoir légalement faire." 
 

Le gouvernement mis devant ses responsabilités

En plus des deux lettres, le député a posé une question au gouvernement (en cours de retranscription) dont L'Usine Digitale a au accès. Il sollicite Jean-Noël Barrot, fraîchement nommé ministre délégué chargé de la Transition numérique et des Télécommunications, sur l'offre S3NS en posant des questions similaires à celles posées à la Cnil et à l'Anssi. Il souhaite notamment "savoir, au regard de la doctrine "cloud au centre" annoncée il y a maintenant plus d'un an, comment le gouvernement envisage d'aborder ce dossier et les questions légitimes qu'il pose en matière de protection des données". A peine arrivé au gouvernement, Jean-Noël Barrot – méconnu du secteur de la tech – a donc du pain sur la planche. Fera-t-il mieux que son prédécesseur Cédric O ? 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

2 commentaires

URBAN-GALINDO
10/07/2022 11h59 - URBAN-GALINDO

Je ne peux que saluer cette initiative du Député LATOMBE : que nos élus osent poser des questions élémentaires de compréhension dans ce domaine est un signe encourageant. Cette notion de "Cloud de confiance" est particulièrement critiquable et on voit se dessiner la prochaine reconduction de la solution Azure de Microsoft pour le HDH, malgré toutes les annonces rassurantes d'études de nouvelles solutions "souveraines". Un récent appel d'offres semblerait prévoir un composant Microsoft dans la solution ! Une telle "manœuvre", si elle est confirmée, aurait des relents de manipulation et, osons le mot, de trahison des intérêts des français sur un sujet "vital" leur santé. Le cercle de réflexion Forum ATENA a consolidé les avis de quelques experts en numérique au travers de 10 questions sur des sujets stratégiques. Un bon plan de travail pour notre nouveau Secrétaire d'Etat rattaché à un Ministère qui affiche dans son titre "souveraineté numérique". A télécharger [commentaire édité: liens interdits]

Répondre au commentaire | Signaler un abus

Labbe
08/07/2022 09h10 - Labbe

bonjour Mesdames Messieurs Je suis pleinement d'accord avec la démarche il est temps que la France voire l'Europe se "débrouille" seule du numérique, du digital et de ses applications

Répondre au commentaire | Signaler un abus