Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des données des centrales nucléaires d’EDF chez AWS ? Amazon jetterait l’éponge

À contre S3NS

Des données des centrales nucléaires d’EDF chez AWS ? Amazon jetterait l’éponge

EDF devrait finalement se passer d’Amazon pour gérer certaines de ses données. Le partenariat annoncé au début de l’année ne se ferait finalement pas, selon le Canard enchainé. EDF semblait satisfait, mais pas Amazon ; plusieurs explications sont sur la table. Une affaire qui remet une pièce dans la bataille autour des données du Health Data Hub chez Microsoft, et plus largement de la confidentialité des données hébergées chez des sociétés américaines.

Le 26 décembre à 11h06

En février, le Canard enchainé révélait qu’EDF avait décidé de faire appel à Amazon Web Services pour gérer une partie des données de ses centrales nucléaires. Il était question de « la "maintenance prédictive" des pièces détachées des centrales », selon nos confrères.

EDF sélectionne plusieurs partenaires IT, dont AWS

L’entreprise avait confirmé dans la foulée : « Pour accompagner dans la durée le parc nucléaire en exploitation, EDF a décidé de moderniser une partie de son système d'information dit de gestion. Dans le cadre de ces travaux, plusieurs partenaires IT (informatique et technologies), dont AWS [Amazon Web Services, ndlr], ont été sélectionnés pour venir compléter l'offre des centres des stockages de données et des compétences internes », comme le rapportait le Figaro au début de l’année.

Une source proche du dossier tempérait les enjeux autour des données : il s’agit de « gérer un catalogue de pièces de rechange, de pompes… pour les centrales », expliquent nos confrères. Mais la question de la souveraineté se pose quand même, d’autant que de nombreux acteurs français et européens existent. Pourquoi alors préférer Amazon ?

Les données confidentielles « ne seront pas sur le cloud »

Luc Rémont, PDG d’EDF, apportait une réponse et souhaitait tempérer le débat, comme le rapportait l’Usine nouvelle : « Nous n’avons pas confié toutes nos données à Amazon. Nous faisons un test avec Amazon sur un certain nombre d’applications comme n’importe quelle entreprise le ferait. Nos données confidentielles sur les centrales nucléaires ne seront pas sur le cloud. Elles restent dans des bases protégées et ne sont évidemment pas partagées ».

À la question de savoir pourquoi Amazon et pas un acteur européen, le patron a une réponse toute prête : « Nous avons déployé un test avec Amazon, grand expert du cloud mais également de la logistique pour nous aider à optimiser la gestion de nos pièces de rechange ».

Amazon refuse finalement le contrat

Patatras, le supercontrat d’une valeur de 860 millions d’euros tombe à l’eau, « Amazon refuse d’héberger en France les données sensibles d’EDF », titre le Canard enchainé. « Derrière cette décision se joue un bras de fer entre services de renseignement américains et français autour de la souveraineté nationale », ajoutent nos confrères. Une histoire qui n’est pas sans rappeler le Health Data Hub avec des données de santé de français chez Microsoft.

Une dizaine de mois après l’annonce du partenariat entre EDF et AWS, les premiers retours semblaient pourtant positifs côté EDF, selon nos confrères.

Ces derniers précisent néanmoins que le Renseignement français était moins emballé et exigerait que les données récupérées par Amazon soient stockées sur des serveurs français. Toujours selon le Canard, « l’américain a refusé de se plier aux exigences de ce "cloud souverain", au prétexte que cela rendrait le contrat avec EDF nettement moins juteux pour lui ».

Pour un haut fonctionnaire interrogé par nos confrères, la vérité serait ailleurs : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice ».

EDF pourrait passer par S3NS de « Thales x Google Cloud »

Amazon n’est pas le seul acteur américain concerné, Microsoft l'est également et a même reconnu, auprès de l’autorité de la police écossaise, que l’entreprise ne pouvait pas garantir la souveraineté des données hébergées dans son infrastructure Azure.

EDF aurait une solution de secours : passer par S3NS – qui est dans le processus de certification SecNumCloud de l’ANSSI –, le co-entreprise entre Thales et Google, qui serait imperméable au Cloud Act et autres réglementations américaines telles que la Section 702 du Foreign Intelligence Surveillance Act (FISA). C’est du moins la promesse des protagonistes.

Il existe aussi un autre cloud basé cette fois-ci sur les services de Microsoft : Bleu, avec Orange et Capgemini. Bleu aussi vise une certification SecNumCloud et espérait déposer un dossier à l’ANSSI avant la fin de l’année, mais nous sommes sans nouvelle depuis.

La même question « va se poser partout »

Sur X, Jean-Baptiste Soufron, avocat des requérants contre la décision de la CNIL d’autoriser le HDH chez Microsoft (ex-secrétaire général du Conseil national du numérique), élargit le débat : « La même question se pose maintenant aussi pour la plateforme des appels d'offre de l'État - un enjeu souverain s'il en est. Elle va se poser partout ».

Il en profite pour revenir à la charge de manière indirecte sur l’histoire du HDH : « Avec d'un côté, des obligations et des labels en carton pour les entreprises françaises et européennes à qui on a demandé de faire des efforts pour rien. Et de l'autre côté, des entreprises américaines qui s'épargnent ces efforts et engrangeront les marchés au détriment de notre souveraineté, et de la possibilité pour les entreprises et les citoyens français d'être préservés du regard inquisiteur de l'administration américaine ».

« Pour le dire autrement, les acteurs français sont en train de se faire évincer les uns après les autres des marchés de leur propre pays, et ce par des entreprises étrangères qui ne respectent même pas la législation et les contraintes qu'on leur demande à eux de respecter », affirme-t-il en guise de conclusion.

La question du Health Data Hub monte à la CEDH

Après la validation par le Conseil d’État de l’autorisation de la CNIL de stocker l’entrepôt de données EMC2 du Heralth Data Hub dans Microsoft Azure, Clever Cloud et d’autres sociétés annoncent saisir la Cour européenne des droits de l’Homme (CEDH).

Elles rappellent que cet hébergement chez Amazon expose les données « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».

Commentaires (17)

votre avatar
« Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice »
Tout simplement.
Amis journalistes, faites le tour des micros pour précher la bonne nouvelle. Il est grand temps que tout européen se mette bien ça dans le crâne.
votre avatar
Je croyais qu'on n'avait "rien à cacher" ? :-D
votre avatar
Exemple dans ce cas: que les USA aient connaissance des contrats avec les sous-traitants d'EDF va quelque peu orienter les réponses à appels d'offre US, inspirer certains rachats, tenter des expériences de boursicotage ou ajouter quelques interlignes dans les relations internationales.
Bref on parle de location de serveurs dans le Cloud, faut garder à l'esprit que les offres SAS peuvent aussi être hébergées nimportnawak quelque soit le drapeau du commerçant.
votre avatar
Va falloir expliquer à nos mauvais amis allemands qu'il faut arrêter de cirer les pompes américaines, vu qu'ils bloquent a peu près tout ce qui ressemble à un cloud européen.
votre avatar
« Nous avons déployé un test avec Amazon, grand expert du cloud mais également de la logistique pour nous aider à optimiser la gestion de nos pièces de rechange ».

Faut-il comprendre que EDF achète ses pièces détachées de centrale nucléaire sur Amazon ? :eeek2:
votre avatar
tu préférerais aliexpress ou wish ? XD

plus sérieusement, merci pour l'article, enfin une bonne nouvelle
votre avatar
Je pense que la logistique ici, c'est surtout d'utiliser leur armée de camions qui transportent les objets d'un entrepôt à un autre.

A la rigueur, peut-être une version privée du site Amazon pour mettre en relation EDF avec les différents fournisseurs de pièces dans un style "marketplace", ou simplement une version API pour passer des commandes automatisées.
votre avatar
Probablement juste des éléments de langage du PDG d'EDF pour rassurer le contribuable sur la pertinence du choix d'Amazon ...
Faudrait pas prendre les cons pour des gens, hein (merci Fluide Glacial :D)
votre avatar
Si seulement on avait des hébergeurs en France ou en Europe. Dommage que ça n'existe pas, et que ça n'existera jamais.
Pour un haut fonctionnaire interrogé par nos confrères, la vérité serait ailleurs : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice ».
Parfaitement normal. Amazon est contraint, comme ses homologues, à la loi US. Inscrire dans un contrat qu'ils la violeront rendra la clause réputée non écrite, c'est la base du droit des contrats !

Cela dit, avec des données chiffrées de bout en bout et des clés de chiffrement inconnues d'AWS (et donc conserver une solution de chiffrement externe au CSP, lui filer la clé privée revenant à lui donner les clés du château), les risques de fuite seront beaucoup plus faibles.

Dans tous les cas, quand je vois cette affaire de nœuds au cerveau, j'ai envie de dire GOTO 1 sur mon commentaire.
votre avatar
Si, si, il existe bel et bien au moins un acteur français de cloud souverain (https://fr.outscale.com/)

Par ailleurs, le cloud de S3NS n'est en aucun cas imperméable au loi US. C'est une boite noire totale. Une ancienne collègue y travail, et elle nous a dit qu'ils n'avaient aucune visu sur le trafic réseau sortant. Croire qu'un cloud souverain basé sur une techno américaine peut existé est une hérésie. Cela vous dire donner accès au code source. Je vois mal les américains faire ça vu leur façon de penser
votre avatar
L'accès au code n'est pas suffisant, il faut les ressources humaines pour l'auditeur.

Pas sur que ces projets mettent en place une équipe équivalente en nombre et en compétence avec celles de MS et Google
votre avatar
A voir la loi applicable au contrat ;)
votre avatar
Je ne connais pas le droit des contrats US, mais je doute qu'il considère la validité d'une clause illégale inscrite dessus. Donc peu importe le droit qui s'applique, j'ai envie de dire.

C'est comme si on demandait à un fournisseur d'inscrire dans son contrat qu'il ne devait pas être conforme au RGPD.
votre avatar
Si le contrat dit "ce contrat est régit par la loi française", je ne sais pas si un tribunal français considèrerait la clause comme illégale.
votre avatar
au prétexte que cela rendrait le contrat avec EDF nettement moins juteux pour lui
sous-titre possible: Pour une poignée de dollards
votre avatar
Demie bonne nouvelle.
On s'en doutait mais c'est révélateur l'intérêt de la nation ses infrastructures au détriment d'autres secteurs:
énergie > santé > éducation
votre avatar
Joli, Flock

Des données des centrales nucléaires d’EDF chez AWS ? Amazon jetterait l’éponge

  • EDF sélectionne plusieurs partenaires IT, dont AWS

  • Les données confidentielles « ne seront pas sur le cloud »

  • Amazon refuse finalement le contrat

  • EDF pourrait passer par S3NS de « Thales x Google Cloud »

  • La même question « va se poser partout »

  • La question du Health Data Hub monte à la CEDH

Fermer