Nous suivre Industrie Techno

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

Kevin Poireault

Mis à jour le 08/07/2020 à 16h42

Soyez le premier à réagir

Soyez le premier à réagir

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

© UBCOM

La Banque publique d’investissement (Bpifrance) a opté pour la solution cloud d’Amazon pour stocker les données relatives aux prêts délivrés par l’Etat français aux entreprises à cause de la baisse de productivité due au Covid-19. Un choix contre lequel s’insurge Frans Imbert Vier, PDG du consultant en cybersécurité UBCOM.

I&T : Vous vous êtes opposé dans la presse à ce que Bpifrance fasse appel aux services d'Amazon Web Services (AWS) pour administrer des prêts garantis aux entreprises par le gouvernement. De quoi s'agit-il ?

Frans Imbert Vier : Quand le décret a été publié pour annoncer les prêts Covid-19 pour les entreprises, il y a eu un branle-bas de combat étatique pour organiser le cautionnement et la gestion de ces prêts. Bpifrance a alors été sollicitée par le ministère de l'Economie pour mettre en place un système qui permettrait de rassembler le cautionnement de l'ensemble des prêts pour élaborer les audits prévus dans le décret. Jusque-là, rien de dérangeant.

Les services techniques de Bpifrance ont alors dû trouver un service cloud disponible tout de suite pour y installer une base de données à construire, interconnectée à des systèmes de consolidation bancaire et à ceux de Bercy. Dans Le Monde informatique, le directeur technique de Bpifrance se félicitait d'avoir pu s'appuyer sur les infrastructures d'AWS pour mettre en place la solution en cinq jours. Or, ils auraient pu se tourner vers Orange ou OVHcloud, ou même un autre fournisseur de cloud européen, qui détiennent tous les compétences requises.

Aucune contrainte technique ne les obligeait à choisir AWS, en tout cas à ma connaissance. Ils auraient même pu héberger ces données eux-mêmes à mon avis. Faire le choix d'un Gafam alors que le président de la République invoque la souveraineté numérique et sanitaire depuis un mois et demi, ce n'est pas acceptable !

Qu'est-ce qui explique ce choix, selon vous ?

Les offres des Gafam sont extrêmement bien construites et développées : elles sont techniquement prêtes et surtout commercialisées d'une telle manière qu'elles sont très simples à comprendre et jouissent d'une publicité très agressive. En deux clics, cela fonctionne, donc c'est normal d'y aller, on a tous envie d'y aller !

Mais en France, en Allemagne et dans les pays du nord de l'Europe, notamment, de nombreuses pépites existent - pas toujours très bien promues, je vous l'accorde. Si on ne fait rien, beaucoup vont mourir alors qu'elles proposent des technologies de bonne facture, d'autres seront systématiquement rachetées par les gros acteurs américains et chinois, et les deux-trois qui resteront seront peut-être péniblement diluées dans un Thales ou un Dassault. Tout cela parce qu'on se dit qu'elles sont fragiles, qu'elles ne pourront pas forcément assurer une certaine pérennité du service et que, généralement, on les élimine automatiquement à l'issue des appels d'offres.

Quels sont, concrètement, les risques ?

Les données inscrites dans cette base concernent le cautionnement bancaire, c'est-à-dire qu'on envoie chez une société américaine la liste de toutes les entreprises qui ont sollicité un prêt et de toutes celles qui l'ont obtenu. Or les Etats-Unis sont le pays qui aspire le plus de données dans le cadre de renseignement économique et ses 24 agences américaines de renseignement peuvent accéder à des données hébergées par une société américaine sans demander l'avis à personne. Sans même utiliser le Cloud Act, pour lequel elles auraient besoin de demander une autorisation, mais en invoquant le Patriot Act, une loi votée juste après les attentats du 11 septembre 2001, qui ne requiert aucune demande à partir du moment où est mis en avant l'intérêt national américain.

On peut donc craindre que des entreprises américaines aient accès aux avantages compétitifs et à la situation financière d'entreprises étrangères. Avec ces deux éléments, il leur serait plus facile de racheter des concurrents quand les conditions sont réunies. Dans une période comme le Covid-19, où tout le monde s'est pris une claque, cela peut être une bonne idée de s'approprier une technologie peu chère, financée grâce à du crédit impôts-recherche, et de l'intégrer dans son offre.

Que faire pour que cela change ?

Aujourd'hui, on ne doit plus céder à la facilité en se tournant vers les offres des Gafam. Si on ne fait pas travailler les acteurs français et européens, on ne leur permettra jamais d'atteindre les niveaux de puissance technique et d'innovation des Gafam. Venant d'un acteur public qui promeut le contraire, c'est ennuyeux. Quand Cédric O publie sur Twitter que l'IA offerte par Microsoft dans le cadre du Health Data Hub est fantastique, cela décrédibilise beaucoup la défense de la souveraineté numérique de la France. Surtout lorsque l'on sait qu'une entreprise franco-suisse, Global Data Excellence, vient de recevoir le prix 2020 de la meilleure IA.

Il faudrait d'abord changer le code des marchés publics en contraignant la fonction publique à réserver 50% de ses dépenses numériques à des acteurs européens et en conservant en France tous les systèmes censés préserver la donnée régalienne de l'Etat français. Peut-être que les différents maires issus du parti Europe Ecologie-Les Verts (EELV) récemment élus pousseront dans ce sens.

Des initiatives pour mettre en avant les offres cloud souveraines commencent à voir le jour, comme le label SecNumCloud de l'Agence française de cybersécurité (Anssi) ou le projet de multi-cloud européen GAIA-X. Qu'en pensez-vous ?

C'est mieux que rien, mais c'est un début seulement. Techniquement, le SecNumCloud ne change pas grand-chose contre l'espionnage économique, d'autant qu'il fait appel à des chiffrements générés par un pays membre de l'Otan, et donc potentiellement  déchiffrables par n'importe quel autre membre. Mais la démarche est vertueuse : le SecNumCloud crée un modèle de confiance économique entre les entreprises et les clients français, garanti par un acteur, l'Anssi, qui maîtrise des niveaux techniques de labellisation en cybersécurité inégalés en Europe.

Quant à GAIA-X, c'est formidable ! Le seul hic est qu'il n'y a pas, dans ce projet, l'obligation que la propriété intellectuelle des services proposés soit portée par une personne morale hébergée sur le territoire de Schengen. C'est dommage...

Parallèlement, il faut que les membres de GAIA-X ne soient pas autorisés à céder une partie de leur participation financière à des tiers hors de l'UE pour éviter que des entreprises financées dans ce cadre-là ne soient ensuite rachetées par des géants américains. En somme, il faut interdire l'entrée d'acteurs non-européens dans GAIA-X. Or à ce jour, des Gafam sont présents aux groupes de travail de GAIA-X... Cette démarche est bonne politiquement, mais très mauvaise économiquement.

A la suite de la parution de cet article, Bpifrance a demandé à la rédaction d'Industrie & Technologies de publier les points suivants :

  • Les données des entreprises qui ont souscrit la garantie publique dans le cadre du PGE ne sont pas accessibles aux hébergeurs cloud avec lesquels Bpifrance a contracté un service d’hébergement. Les données hébergées en cloud sont intégralement chiffrées de bout en bout. La clef de chiffrement n’est connue que de Bpifrance. Aucun hébergeur n’a accès aux données Bpifrance. La sécurité de la plateforme PGE a été auditée par l’Agence nationale de la sécurité des systèmes informatiques (Anssi) qui  a certifié son niveau de sécurité.
     
  • Bpifrance utilise plusieurs hébergeurs pour ses données et impose à ses fournisseurs une clause de réversibilité, qui garantit la possibilité de faire migrer les données d’un hébergeur à l’autre à tout moment, garantissant l’indépendance de son choix.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

Depuis quelques jours, Sopra Steria, sixième ESN de France et membre fondateur du futur Campus cyber, est victime d’une attaque au[…]

26/10/2020 | CybersécuritéBig Data
Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Exclusif

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Plus d'articles