Cloud Act et chiffrement : limites pour la souveraineté numérique L'ANSSI rappelle que le chiffrement seul ne protège pas du Cloud Act et appelle à des approches de souveraineté numérique renforcées.
Le cloud act et chiffrement, et ses effets sur les données cloud stockées à l'étranger, remettent en cause l'idée que le cryptage suffit à protéger les informations lorsque l'infrastructure est détenue par des acteurs américains. En audition devant des parlementaires, le directeur de l'ANSSI, Vincent Strubel, a rappelé que même un chiffrement robuste ne suffit pas à écarter les obligations extraterritoriales et les risques concrets de coupure de service.
Chiffrement et Cloud Act : ce que change le cadre juridique
Le Cloud Act s'appuie sur des lois américaines qui permettent aux autorités fédérales d'exiger l'accès à des données détenues par des entreprises américaines, même lorsque ces données se trouvent hors des États-Unis. Le chiffrement peut protéger le contenu lorsque les données restent chiffrées et que les clés ne sont pas accessibles, mais la réalité est plus complexe: les données chiffrées peuvent être décryptées si les clés sont détenues par le fournisseur ou si la demande porte sur des données en clair conservées par le fournisseur. Le cadre juridique ne se limite pas aux données stockées; les métadonnées et les flux peuvent aussi être soumis à surveillance. Cette dynamique dépend directement de la localisation des clés et de la partie qui contrôle l'infrastructure.
Le kill switch et la continuité des services
Le risque de kill switch désigne la possibilité pour un prestataire de cloud de mettre hors ligne des services ou d'empêcher l'accès à des données en réponse à des exigences légales. Cette perspective n'est pas née d'un scénario de fiction: des suspensions peuvent intervenir lors de pressions juridiques ou de décisions administratives. Pour des secteurs critiques (santé, énergie, administration), une telle interruption peut coûter cher et durer des heures, voire des jours, selon le niveau d'autonomie du système et la disponibilité des sauvegardes.
Aux armes de la souveraineté numérique : que faire concrètement ?
La souveraineté numérique ne se résume pas à une promesse cryptographique. Les responsables recommandent une approche multi-couches et locale lorsque cela est possible:
- Stockage local ou régional : privilégier des prestataires basés en Europe ou en France pour les données sensibles afin de limiter l'étendue géographique des obligations juridiques.
- Gestion des clés dans l'UE : opter pour des solutions de gestion de clés où les clés de chiffrement restent sous contrôle du client ou d'un opérateur européen, afin de limiter l'exposition aux ordres étrangers.
- Chiffrement avec contrôle des accès : combiner chiffrement fort et contrôle d'accès strict, et rappeler que les métadonnées méritent une attention particulière.
Pour terminer
En somme, le chiffrement reste une pièce fondatrice de la sécurité, mais il ne suffit pas à lui seul face au Cloud Act. L'ANSSI invite à repenser les architectures cloud et à mobiliser des mécanismes de souveraineté numérique qui allient localisation des données, gestion des clés et transparence des opérateurs. La question reste: jusqu'où doit-on aller pour sécuriser les données sans sacrifier l'innovation ni l'efficacité ?
