ANSSI : « Le chiffrement ne protège ni du Cloud Act ni d’un kill switch américain »

L’audition aura duré un peu plus d’une heure et demie ^[1]. Jeudi 30 avril ^[2], Vincent Strubel ^[3], directeur général de l’Agence nationale de la sécurité des systèmes d’information ^[3], a comparu devant la commission d’enquête « sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France » ^[4], présidée par le député Modem Philippe Latombe ^[5]. Verdict: l’argumentaire commercial des géants américains du cloud ne tient pas.

LES ENJEUX

Le chiffrement ne neutralise pas l'extraterritorialité

Le Cloud Act et la loi FISA contraignent les entreprises américaines à transmettre des données, même chiffrées, même hébergées en Europe. Microsoft France l'a reconnu devant le Sénat.

Le risque de kill switch n'est plus théorique

La Cour Pénale Internationale a vu ses accès Microsoft coupés après les sanctions de Washington. Strubel évoque une privation de six mois d'accès à la tech US comme scénario de travail.

SecNumCloud, rempart partiel

La qualification garantit l'absence d'accès extraterritorial et l'autonomie d'exploitation aujourd'hui, mais n'élimine pas la dépendance à des briques logicielles ou matérielles non européennes demain.

La controverse S3NS-Google-Thalès

Première offre hybride impliquant un géant américain à obtenir le label, S3NS divise. Pour ses détracteurs, c'est un blanchiment légal des GAFAM; pour l'ANSSI, le résultat d'un audit technique de 1 200 points.

L'État, premier maillon faible

Health Data Hub chez Microsoft, fuites à l'ANTS, France Travail, services des impôts: la commande publique française reste massivement dépendante des hyperscalers, en contradiction avec le discours officiel de souveraineté.

« Ce n’est pas avec du chiffrement qu’on va se protéger du Cloud Act ^[6] ou de la loi FISA ^[7] » ^[8], a déclaré le patron de l’ANSSI. La phrase vise frontalement le discours tenu par Microsoft et les autres hyperscalers américains, qui répètent depuis des années que les données européennes hébergées chez eux seraient protégées des lois américaines parce que chiffrées ^[9].

Pourquoi le chiffrement ne couvre pas le scénario d’une coupure

Le raisonnement, souvent sous-entendu, mérite d’être déroulé. Le chiffrement protège la confidentialité de la donnée au repos ou en transit: un tiers qui intercepterait les fichiers ne pourrait pas les lire. Mais un kill switch ne vise pas la donnée, il vise le service. Chiffrer ses fichiers stockés chez un hyperscaler n’empêche pas ce dernier de désactiver l’accès à l’instance de calcul, à la console d’administration ou aux mises à jour. Strubel le résume d’une formule: « Le chiffrement, ça n’a jamais empêché d’interdire d’éteindre un ordinateur » ^[10]. Le Cloud Act ^[6] et la FISA ^[7], eux, opèrent sur un autre registre encore: ils contraignent le fournisseur à livrer la donnée - y compris, le cas échéant, les clés.

Le « kill switch », nouvelle hantise européenne

Strubel a installé un mot dans le débat parlementaire: kill switch ^[11]. Soit, dans sa définition, « celui de voir des prestataires non européens contraints de couper le service qu’ils fournissent à certains de leurs clients, en fonction de sanctions ou de restrictions d’exportations imposées par le pays d’origine de ces prestataires » ^[12]. Le scénario: l’administration Trump pourrait décider d’une telle coupure pour faire pression sur la Commission européenne ^[13]. « Si demain, pendant six mois, nous sommes privés d’accès à la technologie américaine » ^[14], a-t-il esquissé devant les députés.

L’hypothèse n’est pas théorique. Strubel a cité, devant la commission, le cas de la Cour Pénale Internationale ^[15], basée à La Haye, dont l’accès à des services Microsoft a été perturbé dans le sillage des sanctions américaines visant son procureur. « Si ces États ont pris la peine d’inscrire ce genre de dispositions dans leurs lois, ce n’est pas pour des capacités théoriques, c’est pour les mettre en œuvre » ^[16], a martelé le directeur de l’ANSSI.

Cloud Act, FISA: le cadre juridique américain

Le Cloud Act, adopté par le Congrès américain en 2018 ^[17], rend explicite que les fournisseurs de services américains doivent fournir les données réclamées, même stockées hors du territoire national ^[18]. Il a été voté en réaction à l’affaire Microsoft Corp. V. United States ^[19], dans laquelle Washington exigeait depuis 2013 ^[20] l’accès à des emails hébergés en Irlande. La section 702 du FISA ^[21], le Patriot Act ^[22] et l’Executive Order 12333 ^[23] complètent l’arsenal extraterritorial.

L’Europe n’en est pas à son premier avertissement. On se souvient de l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne en juillet 2020, qui avait invalidé le Privacy Shield ^{[24] [25]} et établi l’incompatibilité entre le régime américain de surveillance et le niveau de protection exigé par le RGPD. Le Data Privacy Framework ^[26] qui lui a succédé repose sur des garde-fous (PCLOB, voies de recours) dont la solidité a été fragilisée sous la nouvelle administration Trump ^[27]. Cinq ans après Schrems II, les pratiques d’achat public n’en ont pas été modifiées.

Devant les sénateurs, Anton Carniaux ^[28], directeur des affaires publiques et juridiques de Microsoft France ^[28], a fini par lâcher l’aveu: interrogé par Simon Uzenat ^[29] sur la garantie que les données des citoyens français ne seront jamais transmises sans accord explicite, il a répondu « non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit » ^[30]. La position de Microsoft est assumée: « Quand nous sommes obligés de les donner, nous les donnons » ^[31].

SecNumCloud: la réponse française, et ses limites

La parade défendue par l’ANSSI s’appelle SecNumCloud ^[32], le label de cybersécurité le plus élevé de l’État ^[32]. « Une solution de cloud opérée par un fournisseur européen, qui remplit tous les critères techniques du SecNumCloud, peu importe l’origine de la technologie, apporte une bonne garantie sur le fait qu’il n’y ait pas d’accès extraterritorial aux données et sur le fait que le service ne puisse pas être coupé à la demande par des autorités étrangères » ^[33], a affirmé Strubel. Le référentiel: 1 200 points de contrôle ^[34] vérifiés par un évaluateur indépendant sous supervision de l’ANSSI ^[35].

Deux temporalités, une seule promesse: la clé du raisonnement Strubel

Comment Strubel concilie-t-il sa défense de SecNumCloud et l’aveu, dans son billet LinkedIn du 6 janvier ^[36], que « aucun acteur, État ou entreprise, ne maîtrise entièrement, et ne peut prétendre forker et maintenir en autarcie toute la stack technologique du cloud » ^[37]? La réponse tient dans une distinction temporelle qu’il assume. Le label garantit, ici et maintenant, deux choses précises: pas d’accès extraterritorial aux données ^[33], et pas de coupure de service à la main d’une autorité étrangère ^[38]. C’est ce qu’il appelle l’autonomie d’exploitation, imposée par l’interdiction faite aux sous-traitants non européens d’opérer l’administration de la plateforme ^{[39] [40]}.

Mais SecNumCloud ne promet pas l’autarcie technologique de long terme. « Une qualification SecNumCloud ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s’appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers » ^[41], écrit Strubel. Une rupture durable d’accès aux mises à jour de composants non européens entraînerait une dégradation du niveau de sécurité ^[42]. SecNumCloud est, dans ses propres mots, « un outil de cybersécurité, pas de politique industrielle » ^{[43] [44]}. Cette distinction - protection juridique aujourd’hui versus indépendance industrielle demain - est la clé de voûte de tout l’argumentaire, et elle est largement gommée dans le débat public.

La controverse S3NS: pourquoi l’ANSSI a tranché

La qualification a été récemment accordée à S3NS ^[45], coentreprise détenue en majorité par Thalès et impliquant Google ^[46], le 17 décembre ^[47] dans sa version SecNumCloud 3.2 ^[48]. Première offre hybride associant un géant américain à recevoir le label, jusqu’alors réservé à neuf entreprises françaises ^[49]. La polémique est immédiate.

Sylvain Rutten ^[50], ancien responsable du pôle infrastructure cloud et sécurité chez Docaposte ^[50], tranche: « L’extra-territorialité américaine ne se désactive pas par un communiqué » ^[51]. Et de poursuivre: « Si les briques critiques, les éditeurs, les chaînes de support, les mises à jour et les dépendances structurantes restent sous influence américaine, alors ce n’est pas un cloud de confiance. C’est un cloud d’obéissance » ^[52]. Alain Issarni ^[53], ancien patron du clouder français NumSpot ^[53], dénonce « une forme de blanchiment légal des GAFAM » ^[54] et estime que « la qualification SecNumCloud ne suffit pas à effacer la dépendance à des acteurs étrangers » ^[55].

La réponse de l’ANSSI tient en quatre arguments, tous techniques. D’abord, le siège social et la capitalisation du prestataire qualifié doivent être européens ^{[56] [57]}: S3NS, société de droit français détenue en majorité par Thalès, satisfait ce critère. Ensuite, les sous-traitants non européens se voient interdire l’accès aux données comme aux opérations d’administration ^[39]. S’y ajoutent un cloisonnement fort entre clients, une chaîne d’administration isolée, le chiffrement systématique des données au repos comme en transit ^[58], et une localisation des données dans l’Union européenne ^[59]. Strubel y voit le résultat d’« un processus formalisé d’évaluation de la sécurité de la solution candidate », et non « une décision arbitraire ni un choix politique » ^[60]. « Ce n’est pas une médaille en chocolat » ^[61], martèle-t-il. Le désaccord avec ses détracteurs n’est pas technique: il est de périmètre. Rutten et Issarni reprochent au label de ne pas faire ce qu’il ne prétend pas faire - éliminer la dépendance industrielle.

L’État, premier maillon faible: le paradoxe Health Data Hub

Le paradoxe le plus criant est celui-ci: l’État français héberge ses données les plus sensibles chez les acteurs mêmes dont son agence de cybersécurité dénonce les risques. Cas d’école: le Health Data Hub ^[62], plateforme regroupant les données de santé de millions de Français, hébergée par Microsoft Azure. Saisi par le Conseil national du logiciel libre ^[63] et le syndicat InterHop ^[64], le Conseil d’État reconnaissait dès le 13 octobre 2020 ^[65] « l’existence d’un risque de transfert des données du Health Data Hub vers les États-Unis » ^[66]. Cinq ans plus tard, la migration n’est toujours pas effective: ce n’est qu’au début juillet 2025 ^[67] que le ministère de la Santé a publié un appel d’offres pour un hébergeur français ou européen, OVHcloud ^[68] et Cloud Temple ^[69] s’étant positionnés. Hela Ghariani ^[70], directrice du Health Data Hub ^[70], a été auditionnée par la même commission le 29 avril 2026 ^[71].

Le constat dépasse la santé. L’Agence nationale des titres sécurisés a détecté une fuite de données le 15 avril ^[72], révélée le 20 avril par le ministère de l’Intérieur ^[73]. Selon un forum cybercriminel, entre 18 et 19 millions de données pourraient avoir été touchées ^[74]. En septembre 2025 déjà ^[75], 12,7 millions de données ^[76] présentées comme issues de l’ANTS avaient été mises en vente sur le darkweb ^[77]. Pour Yann-Maël Larher ^[78], avocat au barreau de Paris spécialiste du droit du numérique ^[78], « ce ne sont plus des défaillances, c’est quelque chose de systématique » ^[79]. Il rappelle que France Travail a été condamné pour avoir perdu plus de 30 millions de données ^{[80] [81]}, et que le service des impôts a perdu des RIB ^[82]. « L’État s’est piégé un peu lui-même, s’est mis aussi au numérique mais n’a pas tiré les conséquences du RGPD: il est responsable de la protection des données » ^[83].

Deux faiblesses, donc, qui se cumulent: un État qui externalise ses données stratégiques chez des fournisseurs soumis au Cloud Act ^[6], et un État qui ne sécurise pas davantage les données qu’il héberge lui-même. La doctrine d’achat public souverain reste, à ce jour, une promesse plus qu’une réalité.

Trente ans de retard, et pas de raccourci

Le constat de Strubel devant les députés est sans détour: « On ne va pas renverser trente ans ^[84] de construction un peu biaisée du numérique en quelques mois ». Sa formule la plus cinglante: « Les gens qui prétendent avoir une solution simple à nos dépendances numériques mentent » ^[85]. À court terme, la maîtrise des risques passe par des dispositifs comme le SecNumCloud ^[86]. « C’est un bon investissement. C’est ça qu’il faut faire » ^[87], plutôt que d’opter pour Microsoft ou d’autres fournisseurs américains ^[88].

Le calendrier parlementaire se poursuit: la commission a auditionné le 29 avril 2026 ^[89] le collectif #Fab8 ^[90] regroupant Wimi, Whaller et Jamespot ^[91][92][93], avant Hela Ghariani. La balle est désormais dans le camp politique: les outils existent, l’arbitrage juridique est posé, les exemples étrangers (Schrems II, CPI) sont là. Reste à savoir si la commande publique française saura, enfin, en tirer les conséquences.

► Lire aussi: Le billet LinkedIn complet de Vincent Strubel sur SecNumCloud