« European Sovereign Cloud » : AWS persiste et signe

Un cloud géré en Europe par des citoyens et des résidents européens

Le géant du cloud a déjà trouvé la directrice générale de cette entité mère. Ce sera l’Allemande Kathrin Renz, l’actuelle vice-présidente d’AWS Industries. Les trois membres de la direction (directrice générale, DPO, RSSI) seront des « citoyens européens résidant dans l’UE », tout comme un des participants du futur conseil consultatif « indépendant » (qui comportera jusqu’à trois employés d’Amazon).

En revanche, « en ce qui concerne les opérations, AWS s’est engagé à ce que les opérations quotidiennes, y compris l’accès aux centres de données, l’assistance technique et les services à la clientèle, ne soient assurées que par des résidents de l’UE ». En clair, ces employés technico-commerciaux pourront être des citoyens américains, ou d’autres nationalités extraeuropéennes avec un titre de séjour dans un pays européen. Un SOC dédié sera mis en place en UE afin de garantir la sécurisation de ce cloud résidentiel.

« L’AWS European Sovereign Cloud fonctionnera avec son propre système de gestion des identités et des accès et un centre d’opérations de sécurité dédié, tous deux entièrement gérés au sein de l’UE. »

LeMagIT a interrogé AWS concernant ce modèle et sur les mesures prises pour éviter les éventuelles pressions que pourrait subir ce personnel de la part de leur État d’origine. « L’AWS European Sovereign Cloud est conçu avec des contrôles techniques de sorte que toutes les métadonnées créées par le client et le contenu du client resteront dans l’UE et ne pourront pas être accessibles depuis l’extérieur de l’UE, sauf si le client en décide autrement », répond le fournisseur. « Il n’y aura aucun contrôle opérationnel en dehors des frontières de l’UE. L’AWS European Sovereign Cloud fonctionnera avec son propre système de gestion des identités et des accès et un centre d’opérations de sécurité dédié, tous deux entièrement gérés au sein de l’UE », ajoute-t-il.

Le géant du cloud ne répond pas réellement à la question : un État peut contraindre un individu à agir en son intérêt. Néanmoins, les porte-parole d’AWS ont déjà affirmé à plusieurs reprises que les techniciens n’ont pas accès aux données des clients.

Tout comme l’a annoncé Microsoft pour sa propre offre européenne, AWS promet que dans « des circonstances extrêmes » ce personnel technique « approuvé » pourra avoir accès à une réplique du code source AWS pour maintenir ce cloud « souverain ». Cette décision ne serait toutefois pas liée aux engagements déclamés par Brad Smith, PDG de Microsoft, le 30 avril dernier. « Nous nous concentrons sur nos clients, pas sur nos compétiteurs », répond un porte-parole d’AWS auprès du MagIT.

Ce cloud AWS spécifique à l’Europe installé à Brandebourg, dont le fonctionnement se rapproche d’un « GovCloud » sera ouvert à « tous les clients », dixit AWS. « Il est conçu pour les clients qui souhaitent bénéficier de toute la puissance du cloud, comme la sécurité, l’évolutivité et la rapidité d’innovation, mais qui, en raison de défis tels que des exigences spécifiques en matière de résidence des données et d’autonomie opérationnelle, n’ont pas encore pu commencer leur migration vers le cloud ou n’ont pas pu transférer certaines de leurs charges de travail les plus sensibles », poursuit-il.

Et AWS d’assurer que cette offre « permettra aux clients européens de secteurs tels que l’administration, les soins de santé et les fournisseurs d’infrastructures nationales critiques, comme les services financiers et l’énergie, de rejoindre les centaines de milliers de clients européens qui bénéficient aujourd’hui des avantages d’AWS ».

La filiale européenne d’AWS n’échappe pas au CLOUD Act

Or, la holding européenne « sera une filiale à 100 % d’Amazon », confirme le fournisseur auprès du MagIT. « L’entité et son équipe de direction devront se conformer à toutes les lois et réglementations applicables en Allemagne et dans l’UE ». Et aux lois extraterritoriales américaines, oublie-t-il de préciser.

« Depuis […] juillet 2020, nous n’avons reçu aucune demande d’application de la loi ayant entraîné la divulgation au gouvernement américain de données de contenu d’entreprise ou de gouvernement situés en dehors des États-Unis. »

Du fait de son statut de fournisseur cloud et de son pays d’attache, AWS est soumis au CLOUD Act, au FISA Act et plus largement aux exigences de l’administration étatsuniennes. Souverain ne serait donc pas le bon terme pour qualifier cette infrastructure. Les détracteurs d’AWS European Cloud voient là un « cheval de Troie » ou, de manière plus malicieuse, une « feuille de figuier ».

« Depuis que nous avons commencé à compiler et à publier des données sur ce point en juillet 2020, nous n’avons reçu aucune demande d’application de la loi ayant entraîné la divulgation au gouvernement américain de données de contenu d’entreprise ou de gouvernement situés en dehors des États-Unis », rétorque AWS auprès du MagIT.

Et d’ajouter : « Il est important de noter que la définition de la souveraineté varie selon les secteurs et les cas d’usage en Europe. Nous avons conçu l’AWS European Sovereign Cloud pour répondre aux différentes exigences de souveraineté grâce à une combinaison de contrôles techniques, d’indépendance opérationnelle et de cadres juridiques ».

Pas aux exigences françaises, donc. En France, un « cloud souverain » désigne une infrastructure localisée en Europe possédée et gérée par une société immune au droit extraeuropéen, tandis qu’un cloud de « confiance » à travers la qualification SecNumCloud, atteste de cette immunité légale en sus de l’application de mesures de cyberprotection supplémentaires. Dans le cadre de la doctrine « Cloud au centre », les organes de l’Administration sont autorisés à utiliser les services de fournisseurs américains quand les données ne sont pas « sensibles ». Mais l’État tente de diriger ses institutions vers les systèmes estampillés SecNumCloud. L’ANSSI, elle, recommande aux OSE et aux OIV – les fameux fournisseurs d’infrastructures et de services critiques – de se tourner également vers des offres « de confiance ».

S’il est difficile de se passer des solutions numériques américaines, les décisions de l’administration Trump suscitent des inquiétudes en Europe, au Canada et dans d’autres régions du monde. Surtout après les sanctions prises contre le bureau du procureur de la Cour Pénale Internationale.

Les fournisseurs cloud américains reconfigurent leur « soft power »

L’entité européenne AWS tentera de convaincre en France et ailleurs en usant d’arguments technico-légaux. Amazon assure que AWS European Sovereign Cloud aura ses propres services réseau (AWS Direct Connect, Route 53) et sa propre autorité de certification racine pour les certificats SSL/TLS. Il entend respecter les standards ISO/IEC 27001:2013, SOC 1/2/3, et la qualification C5 allemande, moins contraignante que le SecNumCloud.

Par défaut, « les outils de gestion des coûts, les factures et l’interface de la console fonctionneront en euros » ou dans la devise du choix du client, suivant sa localisation. Si cela paraît un détail, c’est un argument légal : les transactions en dollars sont soumises à un droit de regard des États-Unis.

AWS n’est pas le seul à avoir embrassé le modèle décrit dans cet article. Oracle a pris des mesures similaires. Les engagements européens de Microsoft s’en rapprochent. En sus de promouvoir la future offre de confiance S3NS des deux côtés de l’Atlantique, Google met en avant des dispositifs de protection résidentielle en Europe. En attendant que l’infrastructure gérée par la coentreprise dirigée par Thales soit pleinement opérationnelle, GCP cherche à récupérer les charges de travail les moins critiques. Une proposition tentante pour certains. « On ne va pas attendre S3NS », a pu entendre LeMagIT dans les couloirs du Google Cloud Summit France.