Espionnage économique par l’IT : les États-Unis renforcent FISA, l’Europe réagira-t-elle ?

Espionnage des entreprises européennes au travers de leurs outils IT

« Les entreprises américaines disposent de guichets ouverts auprès des agences de renseignement pour déposer des demandes de recueil d’informations sensibles sur leurs concurrents non-US. »

« La section 702 du FISA autorise les agences de renseignement américaines à collecter […] sans mandat et de façon massive, les données numériques des personnes non américaines », rappelle Henri d’Agrain, délégué général du Cigref.

Or, comme les données des entreprises européennes et des administrations publiques sont massivement stockées dans des clouds américains, elles tombent sous le coup de cette loi de renseignement. Ouvrant ainsi la porte à d’autres applications que la seule lutte contre le terrorisme et la criminalité.

« L’intelligence économique est une activité essentielle des agences de renseignement », rappelle, presque cinglant, Henri d’Agrain. « Le renseignement d’intérêt économique est considéré par les Anglo-saxons comme relevant de la sécurité nationale […]. Les entreprises américaines disposent de guichets ouverts en permanence auprès des agences de renseignement pour déposer des demandes de recueil d’informations sensibles sur leurs concurrents non-US », insiste-t-il.

La reconduction de la section 702 du FISA serait donc un signal d’alarme pour les Européens.

Faux arguments des hyperscalers et de leurs « influenceurs »

La réaction d’Henri d’Agrain tranche avec une forme d’angélisme des communications officielles des hyperscalers reprises par leurs « influenceurs ».

« [Il y a une confusion] entre la cybersécurité des services cloud – qui permet de se protéger d’accès illégitimes et illégaux – et la protection contre les accès illégitimes, mais légaux des services de renseignements. »

Deux arguments sont souvent avancés pour rassurer les clients européens et, plus récemment, pour contrer la volonté française d’ajouter l’immunité au droit extraterritorial dans le prochain schéma de certification EUCS de l’Union européenne.

Le premier argument est que leurs clouds sont ultra-sécurisés. Le second est que certaines lois – mais pas FISA – sont encadrées par des juges, américains, et donc indépendants (disent-ils). Un troisième est que ces fournisseurs d’IT s’opposent systématiquement à ces demandes sur leurs clients avec une armée d’avocats… ce qui ne garantit cependant pas de l’issue des procédures de contestation.

Visiblement lassée de ces (faux ?) arguments, Henri d’Agrain tranche. « Je constate quand même que les adversaires du niveau de garantie le plus élevé de l’EUCS entretiennent plusieurs confusions », écrit-il. « [Une confusion] entre la cybersécurité des services cloud – qui permet de se protéger d’accès illégitimes et illégaux, essentiellement d’origine criminelle – et la protection des données contre les accès illégitimes, mais légaux des services de renseignements ».

Une autre confusion, volontaire, est celle « entre les données nécessaires à la lutte contre le terrorisme ou la criminalité internationale, et les données collectées dans le cadre d’activité d’intelligence économique ».

En clair, les agences et le législateur américains utiliseraient le prétexte de la criminalité pour mieux s’armer dans la guerre économique.

La France isolée sur un EUCS immun aux droits non européens

« C’est la raison pour laquelle les membres du Cigref sont si attachés à un schéma de certification EUCS qui, dans son niveau d’exigences le plus élevé, permet de garantir l’immunité des services cloud aux législations non européennes à portée extraterritoriale », conclut le délégué général du Cigref et ancien de la Marine nationale.

« Les données stratégiques des entreprises et des administrations ne bénéficient en Europe d’aucun dispositif réglementaire pour les protéger contre les ingérences étrangères. »

Aujourd’hui, pour lui, « les données stratégiques des entreprises et des administrations [N.D.R. : non couvertes de surcroît par le RGPD] ne bénéficient en Europe d’aucun dispositif réglementaire pour les protéger contre les ingérences étrangères ».

Le mot est lâché : « ingérence ».

Or face à cette nouvelle porte ouverte à « l’ingérence », force est de constater que la position française n’est pas sûre de s’imposer. Et le degré le plus élevé de l’EUCS pourrait donc certifier des Azure, GCP, OCI et autres AWS.

L’ancien député (REM) Jean-Michel Mis abonde dans le sens d’Henri d’Agrain en évoquant des Européens « naïfs ». Le mot est exactement celui employé en 2020 par Servane Augier, alors directrice générale d’Outscale (la filiale cloud de Dassault Systèmes) passé depuis chez NumSpot.

« L’instrumentalisation du droit pénal n’est pas la même aux États-Unis et en France. BNP Paribas et Alstom l’ont montré – dans un autre domaine que l’IT –, mais dans un contexte d’application extraterritoriale du droit US », dénonçait-elle déjà à l’époque. « Nous sommes extrêmement naïfs ».

Une réaction européenne et des DSI ?

Au passage, il ne faudra plus parler de FISA, mais de RISA (Reforming Intelligence and Securing America Act).

De l’autre côté de l’Atlantique, le procureur général Merrick Garland s’est réjoui de ce vote controversé pour des raisons de politiques internes et sur la question des données de citoyens américains « péchées » par erreur.

« Quelqu’un pensait-il sérieusement que les États-Unis allaient renoncer à leurs intérêts stratégiques avec Biden plutôt qu’avec Trump ? »

« Ce renouvellement de la section 702 donne aux États-Unis le pouvoir de continuer à collecter des informations de renseignement étranger sur des personnes non américaines situées en dehors des États-Unis, tout en codifiant les réformes importantes que le ministère de la Justice a adoptées pour garantir la protection de la vie privée et des libertés civiles des Américains », a-t-il déclaré.

Les usages à but d’espionnage d’entreprises d’autres pays – dénoncés par Henri d’Agrain – n’ont, eux, visiblement posé aucun problème, ni aux Républicains, ni aux démocrates, ni au ministère de la Justice.

« Quelqu’un pensait-il sérieusement que les États-Unis allaient renoncer à leurs intérêts stratégiques avec Biden plutôt qu’avec Trump ? », questionne Jean-Michel MIS avec ironie.

« Pour justifier le nouveau texte […], le sénateur républicain du Texas, John Cornyn, a même été jusqu’à indiquer que 60 % du “daily brief” que recevait le président Biden était composé de renseignements collectés grâce à FISA », renchérit Guillaume Tissier, directeur général du FIC. Il souligne que la section 25 du nouveau texte élargit les prérogatives du Gouvernement américain.

« Voilà qui devrait décider la Commission européenne à reconsidérer sa position sur le schéma EUCS et qui va sans doute enterrer pour de bon le Data Privacy Framework, la décision d’adéquation adoptée le 10 juillet dernier », espère-t-il. Même vœu chez Jean-Michel Mis : « La question est effectivement de voir ce que la France et l’Europe comptent faire sur EUCS ou le Data Privacy Framework pour arrêter de rejouer le même match sans fin ».

Une autre question est de savoir si ce nouveau FISA fera aussi évoluer les achats des DSI européens – dont ceux du Cigref.

Une éventualité qui a poussé justement les hyperscalers à s’alarmer, « via l’Information Technology Industry Council (ITI), des conséquences de cette législation sur la compétitivité des technologies américaines », souligne Guillaume Tissier. Jusqu’ici, cela n’a pas été le cas.