Technologies

Bleu et S3NS face au risque de la coupure

Cï¿½est Guillaume Poupard, lors de son audition devant une commission dï¿½enquï¿½te du Sï¿½nat, qui a soulevï¿½ la question de la dï¿½pendance des cloud de confiance aux mises ï¿½ jour de leurs parrains amï¿½ricains. (Photo : Sï¿½nat)

Les clouds de confiance le sont-ils vraiment ? Leur dï¿½pendance aux technologies amï¿½ricaines cache, en effet, une faiblesse intrinsï¿½que. En cas de rupture transatlantique, combien de temps pourraient-ils continuer ï¿½ opï¿½rer ? Et comment se protï¿½ger de ce risque ?

Publicitï¿½ï¿½ Si, demain, les fournisseurs de technologies amï¿½ricains dï¿½cident de ne plus fournir leurs technologies, ces systï¿½mes s'effondreront trï¿½s rapidement. On parle de jours ou de semaines ï¿½. Lors de son audition devant la commission d'enquï¿½te du Sï¿½nat, le 27 mai, Guillaume Poupard, actuel directeur gï¿½nï¿½ral adjoint de Docaposte et ancien directeur de l'Agence nationale de la sï¿½curitï¿½ des systï¿½mes d'information (Anssi), a pointï¿½ du doigt une faiblesse intrinsï¿½que des cloud dits de confiance. Ces offres, S3NS et Bleu pour la France, reposent en effet sur des technologies d'hyperscalers, respectivement Google et Microsoft, tout en ï¿½tant hï¿½bergï¿½s par des sociï¿½tï¿½s franï¿½aises, contrï¿½lï¿½es par des groupes hexagonaux (respectivement Thales d'un cï¿½tï¿½, Capgemini et Orange de l'autre).

Certes, le risque d'interruption du service est soulignï¿½ par celui qui reprï¿½sente dï¿½sormais les intï¿½rï¿½ts d'une sociï¿½tï¿½ qui conï¿½oit une offre cloud concurrente de Bleu et S3NS (avec Numspot, le cloud de Docaposte), mais son analyse est corroborï¿½e par Vincent Strubel, actuel directeur gï¿½nï¿½ral de l'Anssi, entendu le lendemain par la mï¿½me commission. Si ce dernier confirme que ï¿½ rien ne s'oppose ï¿½ ï¿½ la qualification SecNumCloud de Bleu par exemple - le montage capitalistique permettant notamment de cocher la case de l'immunitï¿½ au droit extraterritorial -, le lien avec Microsoft soulï¿½ve d'autres interrogations. ï¿½ Est-ce que ï¿½a remplit un objectif de non-exposition ï¿½ des dï¿½pendances aux technologies amï¿½ricaines ? Evidemment que non. Est-ce qu'il faut se poser la question de notre dï¿½pendance quasi-exclusive ï¿½ un certain nombre de technologies ? Evidemment que oui ï¿½, a lancï¿½ Vincent Strubel aux sï¿½nateurs de la commission.

La dï¿½fense de Bleu

De fait, cette question a ï¿½tï¿½ mise sur le devant de l'actualitï¿½ avec la coupure de la messagerie du procureur gï¿½nï¿½ral de la Cour pï¿½nale internationale, Karim Khan, suite aux sanctions de Washington ï¿½ l'encontre du personnel de la CPI. Mï¿½me si Microsoft assure ne pas ï¿½tre ï¿½ l'origine de cette suspension des accï¿½s (voir encadrï¿½), l'ï¿½vï¿½nement a suscitï¿½ pas mal d'interrogation. ï¿½ Dans le contexte gï¿½opolitique actuel, qu'on n'imaginait pas il y a quelques annï¿½es, on se rend compte qu'il peut y avoir des dï¿½cisions politiques extrï¿½mement fortes interdisant la diffusion de technologies ï¿½, a soulignï¿½ Guillaume Poupard, lors de son audition.
Sollicitï¿½ par la rï¿½daction, Jean Coumaros, le prï¿½sident de Bleu, n'ï¿½lude pas le fait que l'hypothï¿½se d'une coupure de l'accï¿½s aux technologies Microsoft figure dans l'analyse de risques de Bleu : ï¿½ ce risque a mï¿½me ï¿½tï¿½ surpondï¿½rï¿½ ces derniers mois, mï¿½me s'il reste extrï¿½mement improbable ï¿½.

Publicitï¿½Si un risque systï¿½mique existe donc, un client spï¿½cifique de Bleu ne pourrait, lui, pas ï¿½tre ciblï¿½, selon Jean Coumaros : ï¿½ Microsoft n'a pas connaissance de nos clients et des utilisateurs travaillant pour ceux-ci, assure le dirigeant. Admettons que l'administration amï¿½ricaine ait une entreprise europï¿½enne dans le collimateur, elle n'aurait aucun moyen de savoir si celle-ci est cliente chez nous, ni aucun accï¿½s ï¿½ nos environnements. Et l'ï¿½diteur n'ï¿½tant ni au capital, ni prï¿½sent au sein de la gouvernance, il ne dispose d'aucune espï¿½ce de moyen de pression sur notre sociï¿½tï¿½. ï¿½

Coffre-fort en Suisse : le dernier recours

Ou plutï¿½t un seul : l'arrï¿½t de toute fourniture des mises ï¿½ jour, permettant ï¿½ Bleu ou ï¿½ son ï¿½quivalent allemand Delos de proposer des offres de cloud de confiance sur base de technologies Microsoft. ï¿½ Dans ce scï¿½nario, qui reste difficile ï¿½ imaginer mï¿½me dans le contexte actuel, le service ne s'arrï¿½te pas du jour au lendemain. Je ne pense pas que Bleu pourrait continuer ï¿½ opï¿½rer ses services pendant des annï¿½es ou des dï¿½cennies sans mises ï¿½ jour, mais durant des mois absolument ! ï¿½, dï¿½fend Jean Coumaros. Par ailleurs, Bleu rappelle ï¿½tre liï¿½ ï¿½ Microsoft par un contrat de 10 ans renouvelable, intï¿½grant la mise ï¿½ disposition de mises ï¿½ jour ï¿½volutives et correctives dans un sas. ï¿½ Nos ï¿½quipes inspectent ensuite ces mises ï¿½ jour et en assurent le dï¿½ploiement ï¿½, prï¿½cise Jean Coumaros.

Pour pallier cette hypothï¿½tique rupture avec ses partenaires europï¿½ens, Microsoft a annoncï¿½, fin avril, un improbable dispositif de continuitï¿½ des activitï¿½s, reposant sur le dï¿½pï¿½t de copies de sauvegarde du code des logiciels de l'ï¿½diteur dans un coffre-fort numï¿½rique, en Suisse. ï¿½ Nous garantirons ï¿½ nos partenaires europï¿½ens les droits lï¿½gaux nï¿½cessaires pour accï¿½der ï¿½ ce code et l'utiliser si cela s'avï¿½re nï¿½cessaire ï¿½, ï¿½crit le prï¿½sident de l'ï¿½diteur, Brad Smith, dans un billet de blog. Selon Jean Coumaros, ce dispositif vise prï¿½cisï¿½ment ï¿½ pallier toute rupture dans la fourniture des mises ï¿½ jour, qui finirait par altï¿½rer les services des partenaires de la firme de Redmond. ï¿½ Le dispositif est en cours de conception.ï¿½Bleu aurait vocation ï¿½ en bï¿½nï¿½ficierï¿½ï¿½, dit le prï¿½sident de Bleu.

Une certification SecNumCloud dï¿½but 2026

Bleu a dï¿½marrï¿½ sa phase de prospection et de commercialisation dï¿½but 2024 et vise une certification SecNumCloud 3.2 plutï¿½t au cours du premier semestre 2026, soit un lï¿½ger dï¿½calage par rapport ï¿½ son calendrier initial qui ciblait plutï¿½t 2025. La sociï¿½tï¿½ a validï¿½, en avril, l'entrï¿½e d'un catalogue de services IaaS, PaaS et CaaS dans le processus de certification de l'Anssi.

Coupure des accï¿½s de la CPI : Microsoft a parlï¿½, pas agi

Le 15 mai dernier, Associated Press assurait que Karim Khan, le procureur de la Cour pï¿½nale internationale (CPI), avait vu son compte mail fermï¿½ par Microsoft, du fait des sanctions amï¿½ricaines le visant. L'agence de presse expliquait que le procureur avait ï¿½tï¿½ contraint de migrer vers Proton Mail. L'affaire a eu un retentissement important, illustrant les consï¿½quences technologiques d'un dï¿½saccord politique avec l'administration Trump. Les sanctions amï¿½ricaines menaï¿½ant toute personne, institution ou entreprise d'amendes et de peines de prison en cas de ï¿½ soutien financier, matï¿½riel ou technologique ï¿½ ï¿½ Karim Khan.

La Cour pï¿½nale internationale ï¿½ la Haye. Microsoft assure ne pas ï¿½tre directement ï¿½ l'origine de la coupure de l'accï¿½s mail de son procureur, Karim Khan. (Photo : CPI)

Microsoft nie toutefois ï¿½tre ï¿½ l'origine de la coupure des accï¿½s du procureur. Dans une audition devant la commission d'enquï¿½te du Sï¿½nat sur la commande publique, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a assurï¿½, le 10 juin, que la coupure en elle-mï¿½me n'est pas du fait de Microsoft. ï¿½ Nous n'avons jamais coupï¿½, ni suspendu les services de la CPI, a indiquï¿½ le responsable de l'ï¿½diteur. Nous ne sommes intervenus que dans le cadre d'un dialogue avec la CPI, pas en acte. ï¿½

Les dï¿½clarations de Microsoft sur ce sujet sensible semblent indiquer que l'ï¿½diteur pourrait avoir poussï¿½ la Cour de La Haye ï¿½ agir prï¿½ventivement, par exemple pour ï¿½viter que l'administration amï¿½ricaine ne mette la main sur les donnï¿½es de Karim Khan stockï¿½es dans sa messagerie.