L'image du "cloud", ou nuage, utilisée pour évoquer le stockage de nos données correspond à des espaces bien réels situés aux quatre coins du monde. Plus de la moitié de ce stockage est contrôlé par Amazon, Microsoft, IBM et Google sans qu'aucunes entreprises ne puissent véritablement garantir le respect et la sécurité de ces données, notamment lors de leur transfert d'un centre de stockage à un autre.
Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Franck Decloquement : Cette expression imagée de "cloud" – autrement dit "nuage de données" – ne doit en effet pas pour autant nous faire oublier que celles-ci ne se promènent pas à "l’air libre", sous une forme "éthérée", impalpable, sans véritables infrastructures techniques en "dur" pour les stocker... Les dépôts ou les collectes de données personnelles, qui nous concernent tous au premier chef, sont en effet stockés quelque part, dans ce "nuage". Mais plus de la moitié du stockage "en nuage" de nos données dans le monde est contrôlée par quatre grandes entreprises américaines emblématiques. Celles-ci sont communément nommées par les observateurs, les "Big Four". Amazon est de très loin la plus grande entreprise, avec environ un tiers de la part de marché et plus de trente-cinq centres de données répartis à travers le monde. Les trois autres plus grands fournisseurs en matière de stockage de données sont Microsoft, IBM et Google. Chacun d'eux adopte un modèle global très similaire de "batteries de serveurs". Autrement dit, un véritable "maillage d’infrastructures" techniques parfaitement implantées et localisables.
Par ailleurs, plusieurs de ces grands fournisseurs de "cloud" public dupliquent naturellement les données de leurs utilisateurs sur leurs réseaux. Et ceci, pour des questions évidentes de sauvegarde en cas de sinistre, d’intrusion, de suppression intempestive ou de piratage des données informatiques. Cela signifie aussi que les informations mises en ligne sur le "nuage" – et donc, les infrastructures techniques, par exemple en France, en Allemagne ou au Royaume-Uni – sont susceptibles d'être transférées à tout moment, à d’autres serveurs localisés dans les grandes métropoles à travers le monde : de Paris à Shanghai, en passant par New York, Singapour et Sydney…
Plus nos données personnelles transitent par un maillage complexe et sont dispersées à travers le monde, plus elles sont vulnérables aux piratages en tous genres. Ce que semble d’ailleurs attester l’augmentation conséquente des fraudes à l’identité. Si nos données personnelles en transit se retrouvent dans un autre pays à un moment ou un autre de leurs cheminements à travers le maillage des infrastructures techniques du "cloud", il peut être très difficile, en effet, voire totalement impossible pour un particulier, de savoir qui peut y avoir concrètement accès, que ce soit les fournisseurs de réseaux partenaires, ou encore les services spécialisés des Etats locaux qui hébergent les serveurs.
De plus, les usages et coutumes, ou encore l'application des lois en matière de sécurisation et d’utilisation des données personnelles, diffèrent grandement d’un pays à un autre…Il n’y a pour l’heure aucune harmonie juridique globale en la matière, dans ce véritable malstrom de complexité juridique territoriale et de protocoles nationaux de sécurité. Les dernières décisions du conseil de l’Europe en la matière le démontrent.
Même si de leur côté, les grands fournisseurs de "cloud" public répètent à l’envie que la sécurité est leur priorité, la sécurisation effective de cette grande "distribution" générale des données – et ceci, à l’échelle planétaire – pose évidemment problème. Cette question n’est que très peu débattue publiquement, compte tenu du déficit évident de confiance que cela pourrait immanquablement générer chez les utilisateurs professionnels ou privés que nous sommes. Les remous consécutifs aux révélations d’Edouard Snowden sur l’étendue des actions de surveillance de la NSA n’ont rassuré personne. Elles ont même été assez funestes pour le développement commercial de nombreux acteurs du "cloud". Il est parfaitement notable pour les spécialistes qu’il apparaît très difficile de toujours comprendre où nos données sont réellement stockées. Dans leur grande majorité, les entreprises privées elles-mêmes ne peuvent identifier à coup sûr – et ne sont finalement pas certaines – où toutes leurs données spécifiques pourraient transiter à un moment donné. Personne ne sait vraiment comment sécuriser les services de "cloud computing ". Il est assez aisé de soupçonner qu’à un moment donné, certains compromis de sécurité ont lieu, compte tenu de la complexité du maillage et de l’enchevêtrement de ces infrastructures en millefeuille. Idem pour les responsabilités en cascade que cela supposerait, en cas de compromission des données commerciales stockées. Données qui pourraient être, dans certains cas, hautement confidentielles ou stratégiques. La question reste ouverte.
En matière de conseils pratiques et de bon sens, il serait judicieux de ne pas partager de données sensibles sur le "cloud", telles que les informations relatives aux numéros de cartes bancaires, copies de documents officiels ou des images très personnelles que vous ne voulez pas les autres puissent voir un jour. Mais la plupart des gens ne suivent toujours pas ces recommandations simples, pour le plus grand bonheur des pirates.
À l’instar des installations des data centers de Google en Caroline du Sud ou en Finlande – où une flopée de gardes privés patrouillent en permanence sur les pourtours des sites et où les dernières technologies biométriques et laser sont utilisées à la sécurisation de ce véritable sanctuaire –personne n’est pourtant en mesure de garantir qu'il n’y aura "jamais" de brèches de sécurité. Amazon soulignait récemment que ses clients conservaient la propriété pleine et entière et le contrôle de leurs contenus, et pouvaient en outre choisir l’emplacement de leur choix pour stocker leurs données spécifiques, ces données ne se déplaçant pas à moins que le client ne décide spécifiquement du contraire. Cette possibilité de "choisir" dans quelle région du monde les données sont stockées se révèle de plus en plus populaire auprès des entreprises clientes. Et en particulier dans l'Union européenne, où de nouvelles directives de protection rigoureuse des données devraient entrer en vigueur à partir de 2018.
En ce qui concerne l’intrusion par les moyens régaliens dédiés des services d’Etat, nul ne peut également jurer que ces actions intrusives de surveillance gourvernementale – ayant trait à des problématiques de sécurité nationale ou de concurrence économique – ne seront plus jamais menées. La coopération supposée, ou les liens de subordination possibles concernant certaines entreprises de taille mondiale avec les agences gouvernementales d’Etats semble manifeste pour beaucoup d’observateurs informés. On imagine mal ces mêmes organisations régaliennes se priver soudainement de ces ressources inestimables en matière de renseignement, au prétexte de lutte en faveur de la protection des données privées des internautes...
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !