Les dbats font rage autour du projet de directive europenne EUCS (European Cybersecurity Certification Scheme) portant sur la scurit et la souverainet dans le cloud. Il suffit de lire les prises de position des uns et des autres pour raliser que, plus que la scurit de nos donnes, ce sont les milliards du march de l'IaaS/PaaS qui sont en jeu.

Dans ce billet, je propose ma vision de ces enjeux. Et puisque c'est de scurit informatique dont il s'agit, cette rflexion prendra la forme d'une analyse de risques (outil numro 1 de n'importe quel DSI/RSSI qui se respecte). Mais d'abord :

EUCS : enjeu du dbat et parties en prsence ?

Au coeur de la controverse, le fait d'inclure ou non dans le futur rfrentiel europen un niveau d'exigence ultime dont le critre serait la "scurit juridique", qui garantirait dans les faits que seules des entreprises aux capitaux strictement europens pourraient assurer (avec des salaris galement europens uniquement) ce niveau de service, excluant de facto les hyperscalers amricains.

Cette exigence est pousse par la France, qui l'a formalise dans son propre rfrentiel SecNumCloud, et rejete par une bonne partie des pays europens (et pas seulement l'Irlande et le Luxembourg qui ont des intrts forts lis aux hyperscalers).

Tte de pont de la fronde franaise, l'ancien directeur de l'ANSSI, G. Poupard avait russi influer dans ce sens sur la doctrine "Cloud au Centre" entre son annonce en 2021 et sa formalisation en 2023, pour ensuite pantoufler chez DocaPoste, qui dveloppe avec NumPost sa propre offre de cloud.

Mais il suffit de consulter la liste de ceux qui se sont joints lui (Airbus, OVHCloud, Orange, Capgemini, Sopra Steria, Dassault Systmes) pour constater que la barrire de scurit que ceux-l veulent construire a d'abord comme objectif de leur garantir un pr carr l'abri de la concurrence amricaine, plus que garantir la scurit de vos donnes.

Mais cessons l la polmique et analysons un peu ce dont il s'agit concrtement.

Les risques en prsence

La premire tape de toute analyse de risques est d'identifier les sources de risques.

Quels sont donc les dispositions juridiques qui permettraient des puissances trangres d'accder vos donnes ?

Elles sont de deux types :

• Le CLOUD Act qui, comme son nom ne l'indique pas, ne concerne pas que le Cloud (il s'agit du Clarifying Lawful Overseas Use of Data), ncessite qu'une cour de justice amricaine se prononce, et ne peut concerner que les donnes d'une personne amricaine.
• Le US Code, dans son Titre 50, chapitre 36, comporte deux dispositions, permettant soit l'Attorney General (l'quivalent du Procureur Gnral auprs de la cour de cassation) seul (art. 1802) soit conjointement avec le directeur de la NSA (art. 1881, introduit par la section 702 de la loi FISA) d'ordonner l'interception de donnes. Ces deux articles sont assortis d'un certain nombre de limitations.

Les scnarios :

S'agissant de risques juridiques, le scnario d'exploitation (S1) est assez immdiat : il s'agit de requtes conformes la loi qui arriveraient auprs d'un cloud provider.

Faisons preuve d'un peu d'imagination (voire de fiction) et ajoutons ce scnario d'autres scenarii extra-lgaux :

• (S2) un cloud provider pourrait volontairement et de sa propre initiative transmettre une agence gouvernementale des donnes stockes par ses clients. Ou collaborer avec une agence gouvernementale hors du cadre lgal (par ex. en prvoyant une backdoor).
• (S3) un employ pourrait faire de mme, sans que son entreprise ne cautionne ses agissements.
• (S4) une agence gouvernementale pourrait utiliser des mthodes d'intrusion pour accder aux donnes stockes chez un oprateur de cloud
• (S5) Tout ou partie des donnes collectes par les scnarios S1 S4 pourraient se retrouver diffuses hors du cadre judiciaire prvu initialement (publiquement dans le but de nuire la rputation, ou auprs de concurrents amricains etc.)

Evaluation des scenarii

Chaque scnario peut tre valu selon les critres classiques, savoir

• la probabilit d'occurence
• la gravit d'un vnement

La gravit d'un vnement dpend essentiellement du type de donnes traites :

• la fuite des plans du dernier Rafale auprs d'un gouvernement tranger aura des consquences autrement plus grandes que celles de mes dernires commandes UberEats.
• on a sanctuaris le domaine des donnes de sant, mais vis--vis du gouvernement amricain, reconnaissons que c'est quand mme plus grave s'ils rcuprent celles de M. Macron que les miennes. Et que c'est plus grave s'il est capable facilement d'associer ces donnes un individu en particulier que si elles sont efficacement pseudonymises.
• certains me qualifieront de laxiste, mais quand je vois la difficult qu'ont les entreprises exploiter des datasets qu'elles ont elles-mmes cres et des donnes trs structures, je considre que certaines data prsentent une difficult d'exploitation telle que le cot, pour un attaquant, excderait largement le bnfice. Personne ne veut fouiller vos poubelles. En particulier si elles sont chiffres et mme si quelque part dans la poubelle se trouve un logiciel qui, lorsqu'il sera lanc, saura les dchiffrer.
• enfin, il y a sans doute des donnes que vous prfreriez voire tomber (au pire) dans les mains d'un gouvernement tiers que dans celles d'un gouvernement qui a juridiction sur vous ! Et ce n'est pas une fiction : certains ont voulu profiter de la rvision de la directive eIDas pour introduire la possibilit pour les Etats de forcer les navigateurs reconnatre leur Autorit de Certification SSL. Concrtement, a veut dire qu'en s'incrustant comme tiers de confiance, l'Etat peut faire du man-in-the-middle et espionner tranquillement vos connexions sur n'importe quel site web. Je n'ai pas lu de tribune nerve de Guillaume Poupard sur le sujet !

Venons-en maintenant la probabilit d'occurrence. Il me semble qu'il faut prendre ici l'efficacit des protections (lgales pour le S1, techniques pour les S2 S5) disponibles ainsi que les dommages pour l'attaquant lui-mme, dommages qui rsulteraient de la perte de rputation conscutive la rvlation de la transmission des donnes.

Je m'explique :

• Le refus d'Apple de communiquer au FBI les moyens ncessaires au dverrouillage d'un iPhone (y compris pour un cas de terrorisme allgu) a fait plus pour la rputation d'Apple de protection des donnes personnelles que tout audit de conformit ;
• idem, quand Amazon choisit d'acheter 1.5 million de licences Office 365 pour ses salaris, il y a l une dclaration de confiance dans les mcanismes de conformit que Microsoft met en place (et de la svrit des sanctions qu'il subirait en cas de dfaut, volontaire ou non).
• Si un Cloud provider se mettait transmettre illgalement (S2) des donnes de ses clients, en particulier si les donnes arrivaient dans les mains de concurrents (S5), ce provider perdrait dans l'anne la quasi-totalit de sa clientle extra-amricaine. Et un whistleblower est si vite arriv !

Attardons-nous sur les scnarios S3 et S4.

• L'attaque par un insider (S3) me semble beaucoup plus difficile commettre chez un hyperscaler qu'un petit oprateur d'hbergement local.
  • L'approche "zero trust" y est implmente rigoureusement (au point que les services ne se font pas confiance les uns les autres si le client ne les autorise pas explicitement le faire).
  • AWS a galement par exemple dvelopp son propre hyperviseur et garantit qu'un oprateur ayant un accs console une machine ne peut voir le contenu des machines virtuelles s'excutant par dessus. Si votre oprateur d'hbergement utilise VMWare, il ne peut en dire autant : un ops ayant accs la console de l'hyperviseur peut accder n'importe quelle VM.
  • Les hyperscalers facilitent la mise en place du chiffrement au repos permettant de garantir qu'un vol de disque dur n'implique pas une perte de donnes.
• Vient enfin l'intrusion par un gouvernement dans le systme de l'oprateur de Cloud.
  • L encore, tant dans le domaine extralgal, SecNumCloud et EUCS ne vous protgeront pas, que vous soyez sur un datacenter capitaux europens ou non.
  • De mon ct, entre un oprateur qui protge chaque jour mes charges de travail des attaques du monde entier, et un oprateur qui conoit ses datacenters avec un tel srieux que l'incendie de l'un d'eux impacte celui d'une autre zone de disponibilit, j'ai fait mon choix !

En conclusion

En dehors des domaines ncessitant une vraie souverainet, comme La Dfense et certaines infrastructures critiques (a minima leurs systmes oprationnels), vouloir absolument un "cloud souverain franais" (ou europen) ne me semble absolument pas justifi, si ce n'est pas la volont de leurs promoteurs de s'assurer un march non-concurrentiel, o ils pourront proposer (cher) des offres bas de gamme.

Ne vous mprenez pas : je peux aussi avoir mon patriotisme conomique et je n'ai pas de prfrence pour les solutions amricaines en tant que telles. Mais pas quand ce patriotisme sert de cache-sexe la mdiocrit. Et, date, je ne vois aucune offre de cloud europen proposant le "tierc gagnant" du cloud suivant :

1. des APIs permettant d'automatiser la totalit de la gestion de l'infrastructure (cl pour tout acteur qui veut matriser ses dploiements et travailler en mode agile/devops) et de la dployer la demande
2. un ventail de services larges (e.g. bases de donnes purpose-built, et pas juste de la BDD relationnelle), trs manags (e.g. des functions-as-a-service, un bus d'vnement manag, une infrastructure de monitoring manage)
3. un modle conomique de paiement 100% l'usage avec un pricing public transparent.

Le jour o j'en verrai, promis, je fais un blog post.