Chiffrement et coupures US: avertissement de l'ANSSI L'ANSSI rappelle que le chiffrement seul ne suffit pas face aux coupures US ni aux lois extraterritoriales; analyses et implications pour la cybersécurité.
Jeudi 30 avril, lors d'une audition à l'Assemblée nationale, Vincent Strubel, directeur général de l'ANSSI, a rappelé une réalité qui peut sembler dérangeante: le chiffrement ne protège ni des coupures à la technologie US, ni des lois US extraterritoriales des États-Unis. Dans un contexte où la dépendance française vis-à-vis des infrastructures numériques étrangères ne cesse de croître, l'Agence appelle à une lecture plus nuancée des garanties offertes par le chiffrement face à des choix politiques et juridiques qui dépassent les frontières.
Cette audition s'inscrit dans un exercice de collecte de fragilités numériques mené par une commission d’enquête de l’Assemblée nationale. Le chef de l’ANSSI a insisté sur le fait que les risques ne sont pas théoriques et qu’ils se manifestent par des scénarios concrets, notamment en matière d’accès aux services critiques et de stabilité des chaînes d’approvisionnement technologiques.
Le contexte des avertissements de l’ANSSI et les enjeux politiques
Depuis l’émergence de décisions qui orientent la politique technologique mondiale, la dépendance vis-à-vis des technologies américaines — cloud, services et équipements — est perçue comme une composante majeure de la sécurité nationale. Le fonctionnaire a rappelé que des mesures juridiques et des décisions exécutives peuvent, en théorie, interrompre l’accès à des services numériques essentiels, même lorsque les données restent physiquement localisées en Europe.
Un volet important concerne les mécanismes d’accès aux données opérés par les autorités américaines. Le CLOUD Act permet à des autorités américaines d’obtenir des données détenues par des prestataires basés aux États-Unis, parfois même lorsque les données se trouvent à l’étranger. Cette configuration expose les organisations françaises à des obligations juridiques et à des risques de dépendance qui échappent au cadre européen. L’ANSSI recommande d’évaluer ces dépendances et d’intégrer des mesures de continuité adaptées.
Ce que cela implique pour les opérateurs et les décideurs
- Diversification et multi-cloud : limiter l’exposition à un unique prestataire américain afin de réduire le risque de coupure massive.
- Architecture et résilience : concevoir des chaînes d’approvisionnement et des architectures hybrides permettant une bascule rapide en cas d’interruption.
- Gouvernance des données : privilégier des cadres de souveraineté et localiser les données sensibles lorsque cela est possible.
- Gestion des clés : envisager des solutions où une partie du chiffrement reste sous contrôle indépendant du fournisseur.
Contexte, limites et ce qu’on ne sait pas encore
Le message de l’ANSSI n’est pas une promesse absolue mais une invitation à la prudence. Le cadre juridique américain évolue et les mécanismes d’accès et d’extradition des données restent en évolution. En pratique, même avec un chiffrement robuste, la continuité des services peut être compromise par des blocages techniques, des coupures réseau ou des décisions politiques qui ciblent des segments entiers de l’écosystème numérique.
À l’échelle européenne, les États et les opérateurs peinent encore à trouver un équilibre entre sécurité, souveraineté et performance des services publics. Reste à voir comment les autorités françaises, et l’Europe, vont coordonner leurs réponses, entre exigences de conformité et besoins opérationnels pour les administrations et les entreprises.
Pour terminer
Cette audition rappelle une réalité incontournable: protéger les informations ne suffit pas si les services numériques peuvent être rendus indisponibles par des choix externes. La résilience passe par des architectures plus diversifiées, des données mieux gérées et une coopération européenne renforcée pour limiter les effets des décisions extraterritoriales.
