Votée par le Sénat des États-Unis vendredi dernier et signée le lendemain par le président Joe Biden, la section 702 du Foreign Intelligence Surveillance Act (FISA) a été prolongée pour deux ans. Le texte autorise les agences de renseignements à collecter des données d'étrangers hors des États-Unis, depuis les infrastructures numériques, dont le cloud fait partie.
C'est la lutte contre le terrorisme et les cyberattaques qui a été invoquée par la Maison Blanche pour justifier le prolongement de la section 702 du FISA. Au nom de la sécurité nationale, le texte permet aux agences de renseignement de collecter des données de citoyens et d'organisations étrangères hors des États-Unis, auprès de fournisseurs de communications électroniques.
La nouvelle ne va pas manquer de faire réagir les défenseurs de la doctrine du cloud souverain et du cloud de confiance en Europe, vent debout contre l'extraterritorialité des lois de certains pays, dont les États-Unis. D'autant qu'à l'échelle européenne, le schéma de certification uniformisé des services cloud en Europe (EUCS) en discussion à Bruxelles fait actuellement l'objet de critiques.
Levée de boucliers sur l'EUCS
En France, plusieurs entreprises et organisations comme OVHCloud, Orange, Capgemini, ou encore l'Association des grandes entreprises et administrations publiques françaises (Cigref) se sont inquiétées dans une lettre ouverte du retrait du critère de sécurité juridique dans la dernière version du texte.
Pour rappel, ce critère doit protéger des lois extraterritoriales comme le FISA, le Cloud Act ou encore la loi chinoise sur le renseignement national. Comment ? En exigeant des fournisseurs étrangers qu'ils créent une co-entreprise et coopèrent avec une entreprise européenne pour le traitement et l'hébergement des données localement, afin d'obtenir le niveau le plus élevé de sécurité dans le cadre de l'EUCS.
D'autant que cette nouvelle version pourrait compromettre le business model des fournisseurs de cloud souverain en Europe. En France, la version 3.2 de la qualification SecNumCloud, qui n'interdit pas le recours aux solutions américaines, inclut des critères visant à protéger les fournisseurs de cloud contre les lois extraterritoriales. L'ANSSI envisage de conserver cette qualification si l'EUCS venait à ne pas garantir l'immunité aux lois extraterritoriales.
L'ENISA, qui coordonne le travail sur le schéma européen de certification de cybersécurité du cloud (EUCS), devait se réunir initialement le 15 avril pour discuter une nouvelle fois du projet. Il faudra finalement attendre la mi-mai. L'issue de ces discussions demeure incertaine, d'autant que certains pays sont, pour des raisons économiques, moins enclins à froisser les fournisseurs de cloud américains.