Le cloud computing, ou « informatique en nuage », s’est aujourd’hui imposé à travers le monde comme un outil indispensable. La Commission nationale de l’informatique et des libertés (CNIL) le définit comme « l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau ». Le cloud permet donc par exemple le stockage et le transfert de données ou de services, mais surtout, il les rend accessibles à distance. Bien que de nombreux avantages s’en dégagent et justifient son utilisation massive, elle n’est pas exempte de tout risque.
Les avantages du cloud dans le milieu professionnel
Le premier avantage de l’informatique en nuage est économique. En effet, l’utilisation par de nombreux acteurs du service de stockage permet de mutualiser les coûts. Héberger ses données individuellement représente un poids économique non négligeable qui permet d’être amorti par l’utilisation du cloud. Par ailleurs, les possibilités offertes par cet outil peuvent également offrir des possibilités d’économies dans d’autres domaines.
Le cloud permet aussi d’offrir une certaine garantie en termes de sécurité. Les fournisseurs de service de cloud répliquent en effet les données pour les stocker dans plusieurs centres de données. Cela offre de meilleures garanties dans le cas où l’un des centres subit une défaillance liée à différents risques potentiels. Ces différentes sauvegardes seraient très coûteuses à assumer pour une entreprise seule. Par ailleurs, les fournisseurs de services cloud sont généralement particulièrement bien préparés pour répondre à d’éventuelles cyberattaques.
Enfin, le cloud présente aussi de nombreux avantages pratiques. Les collaborateurs peuvent par exemple travailler à distance sur des documents communs ou avoir accès aux données depuis des postes de travail et des lieux différents. La flexibilité permise par le cloud est donc largement accrue. Pourtant, malgré cet aperçu des avantages majeurs, le cloud est un sujet d’inquiétude à l’échelle nationale et européenne.
Les inquiétudes autour de la domination américaine
Les entreprises fournisseurs du cloud qui dominent le marché sont très largement voire exclusivement étasuniennes. Parmi elles, il est possible de citer Amazon, Microsoft, Google ou encore IBM qui proposent chacuns leur propre service de cloud. L’absence actuelle d’un équivalent européen qui puisse concurrencer réellement les différentes offres américaines est une première source de déception. Mais ce n’est pas le problème le plus important.
Toutes les entreprises américaines sont soumises au droit américain. Parmi les différentes lois, certaines sont sources d’inquiétudes particulièrement importantes. Deux textes sont particulièrement visés. Il s’agit du « Patriot Act » et du « Cloud Act ». Le premier permet aux Etats Unis d’inspecter n’importe quelle donnée personnelle dans un objectif de lutte contre le terrorisme. Le second permet de contraindre un fournisseur de cloud américain de communiquer toutes les données qu’il stocke.
Il est assez facile d’identifier les dérives potentielles d’une telle loi. Plusieurs associations de défense des droits ont ainsi critiqué les atteintes rendues possibles grâce à ces textes. En Europe, il est clair qu’ils ne sont pas compatibles avec le Règlement Général sur la Protection des Données (RGPD), et pourraient donc être un obstacle à l’utilisation de ces services par les entreprises américaines. Il est également facile d’imaginer d’éventuelles possibilités d’espionnage. Face à cette situation, la France et l’Union Européenne tentent de réagir, avec plus ou moins de succès.
Cloud souverain et label de confiance
Au début des années 2010, la volonté de faire apparaître sur le marché des clouds européens et souverains a été mise en avant. Force est de constater que cette tentative n’est pas un réel succès et que les entreprises américaines dominent toujours largement le marché. Une nouvelle initiative est donc en progression.
En mai 2021, le ministre de l’Economie français a présenté la nouvelle stratégie de la France pour le cloud. Cette stratégie s’appuie majoritairement sur un label « cloud de confiance ». Ce label sera fondé sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et formulées dans le « SecNumCloud ». La communication éventuelle des données à l’Etat américain ne permettrait évidemment pas de prétendre à ce label. L’objectif est donc désormais de parvenir à le faire appliquer par les services cloud américains.
Il semblerait que plusieurs entreprises aient décidé de s’y conformer. Microsoft a par exemple annoncé vouloir obtenir ce label à travers un projet en collaboration avec le groupe français Orange. De son côté, Amazon a également affiché ses ambitions pour pouvoir prétendre au label « cloud de confiance ». Leur stratégie consisterait à crypter les données. De cette façon, les Etats-Unis pourraient toujours exiger que les données leur soient remises, mais seraient dans l’incapacité de les lire. Les prochains mois seront particulièrement riches dans ce domaine, et les premières entreprises américaines pourraient donc prochainement prétendre à l’obtention de ce label.
VASSEUR Lilian
M2 Cyberjustice 2022/2023
Sources :
– https://siecledigital.fr/2021/05/17/gouvernement-strategie-nationale-pour-le-cloud/