L’affaire entre EDF et AWS (Amazon Web Services) met en lumière une problématique cruciale pour les infrastructures critiques : la souveraineté numérique. Alors qu’EDF aurait stocké des données sensibles liées à ses centrales nucléaires sur les serveurs d’AWS, des divergences apparaissent quant à la capacité d’AWS à démontrer son immunité face aux obligations réglementaires américaines, notamment le Cloud Act.
Dans le cadre de la Loi de Programmation Militaire (LPM) 2024-2030, qui vise à garantir la sécurité des infrastructures critiques françaises, cette situation relance le débat sur le recours à des solutions souveraines. Des hébergeurs qualifiés SecNumCloud pour l’IaaS et le PaaS, ainsi que des solutions SaaS souveraines comme Whaller DONJON, offrent des alternatives adaptées aux besoins stratégiques de sécurité et de souveraineté.
Des données stratégiques hébergées par AWS : une controverse justifiée ?
Selon Next.ink, EDF aurait utilisé les services d’AWS pour héberger des données stratégiques liées à ses centrales nucléaires. Si AWS est reconnu pour la robustesse de ses infrastructures, ce choix soulève plusieurs inquiétudes :
- Le Cloud Act et le FISA : une double menace pour la souveraineté : En tant qu’entreprise américaine, AWS est soumis au Cloud Act, qui autorise les autorités américaines à accéder aux données hébergées sur ses serveurs, quel que soit leur emplacement géographique. Cela crée une vulnérabilité immédiate pour des données sensibles. À cela s’ajoute le Foreign Intelligence Surveillance Act (FISA), qui amplifie les risques. Ce texte permet au gouvernement américain de mener des opérations de surveillance sur des entités étrangères, y compris via des entreprises comme AWS. Contrairement au Cloud Act, qui nécessite une demande explicite d’accès, le FISA autorise une collecte proactive de données pour des raisons de sécurité nationale.
- La dépendance technologique : L’utilisation massive d’AWS par des entreprises européennes, y compris EDF, souligne une dépendance technologique problématique. Si AWS décide unilatéralement de modifier ses conditions d’utilisation ou si des sanctions géopolitiques sont imposées, l’accès aux données pourrait être compromis.
- Des infrastructures critiques : Les centrales nucléaires figurent parmi les infrastructures les plus sensibles en France. La LPM 2024-2030 impose des standards rigoureux pour protéger ces infrastructures et leurs données, exigeant des solutions qui garantissent une souveraineté totale.
La Loi de Programmation Militaire : un cadre de sécurité renforcé
Adoptée pour la période 2024-2030, la Loi de Programmation Militaire reflète la volonté de l’État français de sécuriser ses infrastructures critiques face aux menaces numériques croissantes. Elle impose notamment :
- Le renforcement de la souveraineté numérique : Les opérateurs d’importance vitale (OIV), doivent utiliser des solutions répondant à des critères stricts de sécurité et d’indépendance juridique.
- La sécurisation des données sensibles : Les infrastructures critiques doivent démontrer que leurs données ne peuvent être accessibles par des entités étrangères, même de manière indirecte.
- La résilience opérationnelle : Les plans de cybersécurité doivent inclure des solutions certifiées, comme celles qualifiées SecNumCloud, pour limiter les risques d’interruption ou de compromission des données.
Dans ce contexte, le choix d’AWS par EDF apparaît difficilement compatible avec les exigences de la LPM
SecNumCloud : la souveraineté numérique au service des données sensibles
Face aux limites des géants américains du cloud, la qualification SecNumCloud, délivrée par l’ANSSI, offre une garantie de souveraineté numérique adaptée aux besoins des infrastructures sensibles.
Les hébergeurs qualifiés SecNumCloud se distinguent par :
- Leurs garanties juridiques : Les données hébergées sont protégées contre toute ingérence étrangère, car ces fournisseurs sont soumis uniquement aux lois européennes.
- Une architecture résiliente : Les hébergeurs qualifiés SecNumCloud, comme OVHcloud, 3DS Outscale ou Scaleway, proposent des services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service) qualifiés par l’ANSSI, avec des niveaux de sécurité adaptés aux exigences des secteurs critiques.
- Une conformité renforcée : La qualification SecNumCloud garantit que les infrastructures respectent les normes de cybersécurité les plus strictes, de la protection physique des serveurs à la gestion des accès numériques.
Cependant, les hébergeurs SecNumCloud fournissent principalement des solutions d’infrastructure (IaaS) ou de plateforme (PaaS). Pour des applications spécifiques ou des outils collaboratifs, les organisations doivent se tourner vers des solutions SaaS souveraines.
Whaller DONJON : la réponse pour une collaboration (cyber)sécurisée
Dans le domaine des logiciels en tant que service SaaS, Whaller DONJON se positionne comme une alternative souveraine pour répondre aux besoins spécifiques des infrastructures critiques :
- Un SaaS sécurisé et qualifié SecNumCloud : Contrairement aux solutions purement IaaS ou PaaS, Whaller DONJON propose une application complète pour la collaboration et le partage d’informations sensibles, tout en s’appuyant sur des infrastructures certifiées SecNumCloud.
- Une maîtrise des données : Whaller DONJON garantit que toutes les données échangées restent strictement sous contrôle français, répondant ainsi aux exigences de la LPM.
- Des fonctionnalités adaptées aux environnements critiques : Whaller DONJON offre une plateforme collaborative souveraine avec des outils comme la gestion avancée des droits d’accès, la sécurisation des communications internes et des options d’intégration personnalisées pour les secteurs stratégiques.
Cette distinction entre les niveaux d’offre (IaaS, PaaS, SaaS) permet aux organisations comme EDF de couvrir tous leurs besoins tout en respectant les standards les plus élevés de souveraineté numérique.
La souveraineté comme impératif stratégique
L’affaire entre EDF et AWS souligne l’importance cruciale de la souveraineté numérique pour les infrastructures critiques. Alors que la Loi de Programmation Militaire impose des standards stricts pour protéger les données sensibles, des solutions européennes comme celles qualifiées SecNumCloud et des plateformes SaaS souveraines comme Whaller DONJON se présentent comme des alternatives indispensables.
Pour EDF, comme pour d’autres opérateurs d’importance vitale, le choix de ces solutions n’est plus une option, mais une nécessité pour garantir la sécurité stratégique et la résilience face aux menaces numériques.
📖 En savoir plus : Souveraineté Numérique
0 commentaires