Le député Philippe Latombe conteste l'offre de "cloud de confiance" de Thales et Google
Thales et Google ont-ils le droit d'emprunter la terminologie "cloud de confiance" pour désigner leur future offre "S3NS" ?, demande le député Modem Philippe Latombe à la Cnil et à l'Anssi dans deux lettres. Il regrette également que les partenaires fassent la promotion d'une offre n'ayant pas encore reçu le label "SecNumCloud". Une question au gouvernement a également été posée.
Alice Vitard
Le député Modem Philippe Latombe a adressé deux lettres le 4 juillet, l'une à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et l'autre à la Commission nationale de l'informatique et des libertés (Cnil), à propos de l'offre "S3NS" de Thales et Google Cloud. L'Usine Digitale a eu accès au contenu de ces lettres.
Une mauvaise utilisation des termes
Il juge que l'utilisation par les partenaires du terme "cloud de confiance" est de nature à "induire les acheteurs en erreur sur le caractère exclusif de cette offre au regard eu égard au 'label Cloud de confiance'". Ce dernier s'inscrit dans la doctrine "Cloud au centre" présentée l'année dernière par le gouvernement. Elle prévoit la possibilité pour des "offres hybrides" d'être compatibles avec "le cloud de confiance", un label de sécurité qui inclut le respect du référentiel SecNumCloud". C'est l'Anssi qui est chargé de décerner ce précieux sésame en vertu d'une grille d'évaluation stricte.
Le député reproche aux entreprises de jouer sur la ponctuation : "Le Cloud. De Confiance. Pour la France". "Ce qui pourrait apparaître de prime abord comme une simple maladresse ou un manque d’inspiration, se comprend plus comme une tentative d’enfumage, surtout quand on pousse un peu plus loin la lecture", écrit-il dans sa lettre à l'Anssi.
Une sorte de publicité mensongère ?
Il regrette également que la communication de l'offre repose sur un élément hypothétique, soit l'obtention du label "SecNumCloud" avant le second semestre de 2024. "Un industriel de l'agroalimentaire n'a pas le droit de dire qu'il est bio s'il ne l'est pas : "achetez mes pâtes maintenant parce qu'elles seront bio demain". Bah non !", déclare-t-il. Contacté par L'Usine Digitale, Thales s'est défendu en arguant qu'il n'y avait "aucune ambiguïté". "S3NS fournira bien (dès 2024) une offre visant le label SecNumCloud pour un cloud de confiance (...) Cette offre est construite spécifiquement dans le but d’obtenir ce label", a ajouté l'entreprise.
Philippe Latombe soulève plusieurs questionnements auxquels il attend des réponses de la Cnil et de l'Anssi : "est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?", "quelles garanties sont données par Thales sur sa réelle capacité à auditer le code source qui sera fourni par Google ?" et "quelle protection contre les backdoors pour éviter que les services américains ne bénéficient d'un accès détourné aux données hébergées ?".
S3NS n'hébergera pas des données classifiées
A propos des backdoors, Thales nous a précisé que "S3NS n'a pas pour objectif d’héberger des données classifiées (e.g. Secret, anciennement 'Confidentiel Défense'), pour lesquelles les solutions adaptées doivent répondre à d’autres exigences". De plus, "un ensemble de mesures de sécurité, conformes aux exigences SecNumCloud et complémentaires entre elles, ont été définies - notamment l’isolation physique et logique des données, le chiffrement, le contrôle des mises à jour, l’audit du code source, supervision par des sondes et un Security Operations Center (SOC) Thales qualifiés par l’Anssi, etc.", détaille-t-il. Encore, seule l'Anssi est apte à décider que ces mesures sont suffisantes à protéger les données hébergées par S3NS.
Il demande aussi à la Cnil de prendre en compte toutes les conséquences de l'invalidation du Privacy Shield, ce texte qui permettait de transférer des données vers les Etats-Unis. La Cour de justice de l'Union européenne a décidé que la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain (même en dehors des Etats-Unis) qui était au coeur du litige.
Après Google Analytics, les offres hybrides ?
A cet égard, "je souhaite savoir si les offres de cloud hybrides sont conformes au RGPD ou pas", déclare le député citant une récente décision de la Cnil jugeant que Google Analytics ne l'était pas à cause des risques de transfert de données outre-Atlantique. "A mon sens, je pense que le même raisonnement juridique pourrait s'appliquer au cloud", juge-t-il.
Même problème pour l'offre "Bleu" d'Orange, Microsoft et Capgemini. Celle-ci devrait également être certifiée "SecNumCloud" en 2024, d'après les partenaires. Les termes employés seraient néanmoins moins problématiques. "Ils ne sont pas allés au bord des limites, estime le député. Là, Thales et Google ont fait ce que les Américains font le plus, c'est-à-dire aller au bout du bout du bout de ce qu'ils pensaient pouvoir légalement faire."
Le gouvernement mis devant ses responsabilités
En plus des deux lettres, le député a posé une question au gouvernement (en cours de retranscription) dont L'Usine Digitale a au accès. Il sollicite Jean-Noël Barrot, fraîchement nommé ministre délégué chargé de la Transition numérique et des Télécommunications, sur l'offre S3NS en posant des questions similaires à celles posées à la Cnil et à l'Anssi. Il souhaite notamment "savoir, au regard de la doctrine "cloud au centre" annoncée il y a maintenant plus d'un an, comment le gouvernement envisage d'aborder ce dossier et les questions légitimes qu'il pose en matière de protection des données". A peine arrivé au gouvernement, Jean-Noël Barrot – méconnu du secteur de la tech – a donc du pain sur la planche. Fera-t-il mieux que son prédécesseur Cédric O ?
SUR LE MÊME SUJET
2Commentaires
Réagir
