Souveraineté numérique : un pied dans Latombe ?
Renouvelée jusqu’en avril 2024, la section 702 de la loi sur la surveillance de l’intelligence étrangère ( FISA) des États- Unis pourrait être élargie aux équipementiers en mesure d’intercepter des communications. Le député Philippe Latombe a alerté le ministère du Numérique et s’interroge sur l’avenir de Secnumcloud et sur son successeur européen, l’european Cybersecurity Certification Scheme for Cloud Services ( EUCS).
Aux États- Unis, la question de la sécurité nationale est un enjeu central de la campagne présidentielle. Et républicains et démocrates ne manquent pas une occasion de s’écharper sur le sujet dans un contexte de fortes tensions internationales. Faute d’un accord au Congrès américain sur la réforme de la loi FISA, pour le « Foreign Intelligence Surveillance Act » , sa section 702, pourtant sur le point d’expirer, a été prorogée jusqu’en avril 2024 par le président démocrate, Joe Biden. En substance, cette section autorise la surveillance électronique de groupes de personnes, Européens compris, quand la sécurité nationale le justifie.
« Les républicains ont accepté de prolonger le FISA, à condition de le renforcer. Donc malgré l’absence d’accord, il y a tout de même la volonté d’avoir un outil effectif » , explique Philippe Latombe, député de La Vendée à L’informaticien. Les discussions autour du texte suivent donc leur cours. Dans une question écrite au ministère du Numérique et publiée au Journal Officiel le 2 janvier 2024, Philippe Latombe a alerté sur les risques que ce projet de réforme faisait peser sur la souveraineté. « Il a été proposé, dans le cadre de la réforme du FISA ( Reform and Reauthorization Act), à travers la section 504, d’étendre le champ d’application du texte aux équipementiers et aux fournisseurs d’équipements en capacité d’intercepter et de transmettre des communications électroniques » , nous explique- t- il.
Quel avenir pour Secnumcloud ?
Le député s’inquiète que « des sociétés, comme Equinix et les équipementiers fournissant des connexions en cross- connect, soient contraintes par la section 504 d’installer des balises ou modules d’interception » . Il s’interroge également sur ce que cela serait susceptible de changer pour le référentiel de l’agence nationale de la sécurité des systèmes d’information ( ANSSI), Secnumcloud, et pour son successeur européen, l’european Cybersecurity Certification Scheme for Cloud Services ( EUCS) toujours en négociation et censé harmoniser les différents schémas nationaux.
À ce jour, les opérateurs clouds américains peuvent être obligés de transmettre des données, notamment en vertu du Cloud Act, une loi permettant aux autorités américaines d’exiger, sous certaines conditions, la divulgation de données hébergées par des entreprises américaines.
En France, Secnumcloud exige des prestataires certifiés, un degré maximal de sécurité des données et a mis en place des mesures de protection, notamment juridiques, contre ces lois extraterritoriales. « Mais rien ne concerne la limitation matérielle ou les serveurs en cross- connect, comme ceux de la société américaine Equinix, partenaire de nombreuses entreprises certifiées Secnumcloud » , fait remarquer Philippe Latombe.
Un chiffrement insuffisant
Interrogée par L’informaticien, Laure Martin- Tervonen, directrice de la marque et des affaires publiques chez Cloud Temple, dont l’offre Iaas est certifiée Secnumcloud, se veut rassurante : « la section 504 n’est pas un souci pour Secnumcloud car toutes les données en transit sont chiffrées et seront inintelligibles. »
Moins confiant, Philippe Latombe expose les limites du chiffrement. « Ce n’est que le début d’une bonne idée, mais ce n’est pas la solution car aucun chiffrement n’est infaillible. De plus, c’est un procédé bien plus lourd lorsqu’il s’agit d’informations en transit. Et les données ne sont, de toute façon, pas chiffrées tout du long de leur traitement et peuvent être interceptées et déchiffrées avec suffisamment de puissance de calcul. »
Et maintenant ? Philippe Latombe plaide pour une solution politique. L’EUCS et Secnumcloud devront garantir une protection maximale — sans trous dans la raquette —, à grand renfort d’ajouts d’obligations techniques et juridiques, y compris pour les équipementiers. « Peut- être que la question pourra être abordée plus attentivement lors de la retranscription en droit français de la directive NIS 2 ( texte devant renforcer le niveau de cybersécurité dans l’union européenne, ndlr) qui est attendue pour octobre 2024 » , espère le député de Vendée. Rendezvous est pris.