Données sensibles : faut-il avoir peur du cloud ?

Pour stocker leurs données en ligne, les entrepreneurs français s’en remettent le plus souvent aux géants américains… Au risque de se faire piquer leurs idées ou leurs brevets. Cet article est paru dans un hors série de Management (n°19,  27 octobre 2016)

© Jacky Leung/Getty Images

© Jacky Leung/Getty Images

Partage de documents, messagerie, carnet d’adresses et agenda accessibles aux quatre coins du monde sur n’importe quel appareil… Quelle aubaine ! A l’heure du télétravail à tout crin et de la mondialisation, les services de cloud sont d’autant plus tentants qu’ils sont gratuits ou peu coûteux. Mais cette tentation a un revers pour les entrepreneurs, et pas seulement en terme de publicité ciblée. «Un confrère ingénieur avait déposé son brevet sur un service américain de stockage de fichiers en ligne en vue de lancer une start-up, raconte Damien Gossard, cofondateur de WiggWam, une solution de service du cloud souverain. Quelques semaines plus tard, il s’est aperçu qu’une société américaine lançait exactement le même produit !» Si le vol de données est impossible à prouver, difficile de croire à une simple coïncidence… «Un État ou une entreprise peuvent être tentés de favoriser des acteurs locaux», insiste Damien Gossard, rappelant une réalité bien connue sous le nom d’espionnage industriel entre pays, même alliés. De fait, les géants du cloud – comme Google, Apple, Amazon  ou encore DropBox – sont tous basés aux États-Unis, où la législation permet de collecter presque sans limite des données confidentielles ou concurrentielles.

«Quand je rencontre des entrepreneurs de l’innovation qui n’hésitent pas à stocker toutes leurs données sensibles sur des serveurs basés en Californie, donc soumis au droit californien, poursuit l’entrepreneur, je suis quelque peu atterré…» C’est ce qui l’a poussé à proposer exactement les mêmes services, mais en hébergeant toutes les données en France – d’où l’expression de «cloud souverain». «Ça ne résout pas tous les problèmes, concède-t-il, il n’y a évidemment pas de risque zéro contre le piratage et l’espionnage, mais vous avez tout de même plus de garanties.» D’une part, l’État n’a a priori pas de raison de favoriser une entreprise plus qu’une autre et, d’autre part, le droit français s’appliquera sans équivoque en cas de litige, de perte ou de vol de données. C’est d’ailleurs une obligation légale lorsque l’on stocke des informations personnelles concernant des tiers (clients, employés ou partenaires, par exemple) : les entreprises s’exposent à 300.000 euros d’amende et cinq ans d’emprisonnement si elles n’ont pas obtenu un accord de la Commission nationale de l’informatique et des libertés (Cnil) pour utiliser des services étrangers.

MARCHÉ BALBUTIANT
WiggWam n’est pas la seule à s’être lancée : Numergy, Cloudwatt, hubiC… Les offres de cloud souverain se sont multipliées ces dernières années, répondant à un besoin réel de sécurité. Dans un Guide des bonnes pratiques de l’informatique, publié en 2015, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et la Confédération générale des petites et moyennes entreprises (CGPME) recommandaient vivement de se renseigner sur la localisation des données avant de sauvegarder quoi que ce soit en ligne, et de privilégier des offres de cloud souverain. Depuis 2009, l’État français a également tenté de développer une offre nationale pour protéger les entrepreneurs des réglementations étrangères et des «grandes oreilles», mais le projet a englouti beaucoup d’argent avant de repasser sous le giron du privé, fin 2015. Le marché reste balbutiant et peine à rencontrer une demande en France. «Les entreprises ne semblent pas conscientes du problème, regrette Christian Harbulot, directeur de l’École de guerre économique et directeur associé du cabinet de conseil Spin Partners. Elles ne font pas le lien entre sécurité et compétitivité.»

QUESTION D’IMAGE
En plus d’une certaine inconscience, ce spécialiste de stratégie, coordinateur d’un Manuel de l’intelligence économique (PUF), dénonce un pragmatisme à courte vue, conduisant nombre d’entrepreneurs à privilégier des outils américains. «Ils condamnent par avance toute tentative française, au motif qu’on ne ferait jamais aussi bien que les géants du secteur. Et, de façon cynique, certains estiment même préférable de tomber sous le giron des États-Unis plutôt que sous celui de la Chine par exemple…»

La situation perdure d’autant plus, selon lui, que les entreprises ont tendance à camoufler sous le tapis les extorsions dont elles ont été victimes, pour ne pas nuire à leur image. Circulez, il n’y a rien à voir ! «C’est le mal français par excellence : c’est un peu honteux, donc on n’en parle pas et on reste dans le flou.» Faute d’avoir une discussion franche sur ces sujets, il n’y a pas de réelle évaluation du problème ni, par conséquent, les investissements qui pourraient être nécessaires pour le résoudre. «Même du côté du gouvernement, déplore Christian Harbulot, il y a comme un refus d’aborder les questions en termes de puissance nationale et de compétition.» Plus tempéré, Philippe Trouchaud, associé au sein du cabinet PwC et auteur de La Cybersécurité, au-delà de la technologie (Odile Jacob), considère que «ça n’a pas beaucoup de sens de vouloir se protéger contre les agences d’espionnage américaines». Sceptique quant à l’idée d’un cloud souverain en France, «dans la mesure où le marché ne décolle pas, et que tout est question d’échelle dans ce secteur», il préconise donc de s’en remettre aux acteurs dominants, «même s’ils sont américains», mais d’agir avec méthode.

PAPIER ET CRAYONS
«La première chose à faire, explique-t-il, est de séparer les données sensibles du reste, sinon vous allez mettre le même niveau de sécurité partout, ce qui n’a aucune efficacité.» Pour prendre une image, plutôt d’investir dans des portes et fenêtres blindées pour protéger son appartement – alors qu’elles seront toujours susceptibles d’être fracturées –, mieux vaut placer ses bijoux de famille dans le coffre-fort d’une banque…

«Aujourd’hui, les meilleurs services de cloud offrent des solutions de cryptage permettant une réelle sécurité des données à moindre coût», assure encore Philippe Trouchaud. Et de citer en exemple la polémique ayant opposé Apple au FBI : l’agence d’espionnage américaine assurait ne pas pouvoir décrypter l’iPhone d’un terroriste, protégé par un mot de passe… Quelques semaines après notre entretien, pourtant, le FBI est parvenu à casser le cryptage de l’iPhone. De nombreux spécialistes – à commencer par le lanceur d’alerte Edward Snowden – avaient d’ailleurs accusé le FBI d’exagérer ses difficultés, afin d’endormir la méfiance des utilisateurs de ces services.

UNE ISSUE EUROPÉENNE ?
«Si nous n’avons pas les moyens de rivaliser avec les énormes systèmes de stockage américain, objecte Christian Harbulot, développons un écosystème plus modeste.» Partant également du principe que seuls 15 à 20% du volume total d’informations d’une entreprise sont réellement sensibles, il prêche pour un réel changement de mentalité. «Nous pourrions apprendre à conserver un avantage économique plutôt que d’accepter un monde occidental sous contrôle américain.»

Si ce changement ne survient pas en France, il sera peut-être possible à l’échelon européen. En février dernier, la Commission européenne a choisi la Cloud Team Alliance, un consortium d’opérateurs européens initié par le français Numergy, pour fournir une offre à 56 entités de l’Union. L’enjeu est toujours le même, comme le résumait un communiqué : «Sécuriser les données qui seront hébergées sur le territoire européen et permettre une interopérabilité entre les pays pour les utilisateurs.» Reste à savoir si ce projet aura un meilleur avenir que son parent pauvre en France…

LES ERRANCES DU “CLOUD SOUVERAIN”

En plus d’héberger les données ou les logiciels des entreprises et des particuliers, le cloud, nom donné à l’informatique délocalisée, permet aux sociétés de réduire les coûts informatiques en mutualisant le stockage. Pratique : on peut accéder à ce qui est stocké depuis n’importe où pour peu qu’on dispose d’une connexion à Internet. Mais problème : si on peut y accéder, d’autres le peuvent aussi… Et comme les serveurs de stockage appartiennent pour la plupart à des sociétés américaines, où les lois sont plus souples sur la confidentialité, la sécurité des données n’est pas vraiment assurée. C’est pourquoi, dès 2011, le gouvernement Sarkozy décidait de munir la France de son propre cloud.

Baptisé Andromède, le projet, doté d’un budget de 150 millions d’euros, reposait sur la construction d’un centre d’hébergement de données informatiques géant. Cinq ans après, qu’est devenue cette ambition française ? Euh… rien ! Les investisseurs hexagonaux ont été incapables de s’entendre. Pendant plusieurs mois, Dassault Systèmes, chef de file originel d’Andromède, s’est querellé avec Orange, puis avec SFR, avant de claquer la porte des travaux. Au lieu du projet initial, l’État a décidé en 2012 d’investir deux fois 75 millions d’euros dans deux projets concurrents, Cloudwatt et Numergy, soutenus respectivement par Orange et Thales, et SFR. Reflop ! Autre projet vite abandonné, celui d’un OS souverain (OS pour Operating System, le programme qui fait tourner ordinateurs ou smartphones). Présenté en janvier dernier à l’Assemblée nationale, le projet, soutenu par l’ancienne ministre Delphine Batho, aurait lui aussi permis de ne plus dépendre des Américains. Encore une fois, la proposition n’a pas abouti…

Publicités

Poster un commentaire

Classé dans Internet, Management, Travail

Les commentaires sont fermés.