S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

[MàJ] Données de centrales nucléaires : AWS réfute avoir « refusé de signer un contrat » avec EDF

À contre S3NS

[MàJ] Données de centrales nucléaires : AWS réfute avoir « refusé de signer un contrat » avec EDF

Illustration : Flock

EDF devrait finalement se passer d’Amazon pour gérer certaines de ses données. Le partenariat annoncé au début de l’année ne se ferait finalement pas, selon le Canard enchainé. EDF semblait satisfait, mais pas Amazon ; plusieurs explications sont sur la table. Une affaire qui remet une pièce dans la bataille autour des données du Health Data Hub chez Microsoft, et plus largement de la confidentialité des données hébergées chez des sociétés américaines.

[Mise à jour du 27 décembre à 16h16] Amazon Web Services nous a contactés pour apporter la réponse suivante : « Les bases de cet article sont totalement erronées. AWS est ravi de travailler avec EDF, et nous n’avons pas refusé de signer un contrat avec l’entreprise. AWS est souverain dès sa conception et tous nos clients ont toujours eu un contrôle total sur l’endroit où ils localisent leurs données et qui peut y accéder ».

Nous avons demandé confirmation d’un point. Dans l’article du Canard un haut fonctionnaire déclare : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice ».

Notre question était donc : « Amazon Web Service est-elle en mesure de certifier que les services de renseignement américains et/ou le Département de la Justice ne peuvent pas demander accéder aux données même (Cloud Act, FISA 702), en aucun cas ? ». L’entreprise américaine n’a pas répondu pour le moment.

[Article original du 26 décembre à 11h06] En février, le Canard enchainé révélait qu’EDF avait décidé de faire appel à Amazon Web Services pour gérer une partie des données de ses centrales nucléaires. Il était question de « la « maintenance prédictive » des pièces détachées des centrales », selon nos confrères.

EDF sélectionne plusieurs partenaires IT, dont AWS

L’entreprise avait confirmé dans la foulée : « Pour accompagner dans la durée le parc nucléaire en exploitation, EDF a décidé de moderniser une partie de son système d’information dit de gestion. Dans le cadre de ces travaux, plusieurs partenaires IT (informatique et technologies), dont AWS [Amazon Web Services, ndlr], ont été sélectionnés pour venir compléter l’offre des centres des stockages de données et des compétences internes », comme le rapportait le Figaro au début de l’année.

Une source proche du dossier tempérait les enjeux autour des données : il s’agit de « gérer un catalogue de pièces de rechange, de pompes… pour les centrales », expliquent nos confrères. Mais la question de la souveraineté se pose quand même, d’autant que de nombreux acteurs français et européens existent. Pourquoi alors préférer Amazon ?

Les données confidentielles « ne seront pas sur le cloud »

Luc Rémont, PDG d’EDF, apportait une réponse et souhaitait tempérer le débat, comme le rapportait l’Usine nouvelle : « Nous n’avons pas confié toutes nos données à Amazon. Nous faisons un test avec Amazon sur un certain nombre d’applications comme n’importe quelle entreprise le ferait. Nos données confidentielles sur les centrales nucléaires ne seront pas sur le cloud. Elles restent dans des bases protégées et ne sont évidemment pas partagées ».

À la question de savoir pourquoi Amazon et pas un acteur européen, le patron a une réponse toute prête : « Nous avons déployé un test avec Amazon, grand expert du cloud mais également de la logistique pour nous aider à optimiser la gestion de nos pièces de rechange ».

Amazon refuse finalement le contrat

Patatras, le supercontrat d’une valeur de 860 millions d’euros tombe à l’eau, « Amazon refuse d’héberger en France les données sensibles d’EDF », titre le Canard enchainé. « Derrière cette décision se joue un bras de fer entre services de renseignement américains et français autour de la souveraineté nationale », ajoutent nos confrères. Une histoire qui n’est pas sans rappeler le Health Data Hub avec des données de santé de français chez Microsoft.

Une dizaine de mois après l’annonce du partenariat entre EDF et AWS, les premiers retours semblaient pourtant positifs côté EDF, selon nos confrères.

Ces derniers précisent néanmoins que le Renseignement français était moins emballé et exigerait que les données récupérées par Amazon soient stockées sur des serveurs français. Toujours selon le Canard, « l’américain a refusé de se plier aux exigences de ce « cloud souverain », au prétexte que cela rendrait le contrat avec EDF nettement moins juteux pour lui ».

Pour un haut fonctionnaire interrogé par nos confrères, la vérité serait ailleurs : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice ».

EDF pourrait passer par S3NS de « Thales x Google Cloud »

Amazon n’est pas le seul acteur américain concerné, Microsoft l’est également et a même reconnu, auprès de l’autorité de la police écossaise, que l’entreprise ne pouvait pas garantir la souveraineté des données hébergées dans son infrastructure Azure.

EDF aurait une solution de secours : passer par S3NS – qui est dans le processus de certification SecNumCloud de l’ANSSI –, le co-entreprise entre Thales et Google, qui serait imperméable au Cloud Act et autres réglementations américaines telles que la Section 702 du Foreign Intelligence Surveillance Act (FISA). C’est du moins la promesse des protagonistes.

Il existe aussi un autre cloud basé cette fois-ci sur les services de Microsoft : Bleu, avec Orange et Capgemini. Bleu aussi vise une certification SecNumCloud et espérait déposer un dossier à l’ANSSI avant la fin de l’année, mais nous sommes sans nouvelle depuis.

La même question « va se poser partout »

Sur X, Jean-Baptiste Soufron, avocat des requérants contre la décision de la CNIL d’autoriser le HDH chez Microsoft (ex-secrétaire général du Conseil national du numérique), élargit le débat : « La même question se pose maintenant aussi pour la plateforme des appels d’offre de l’État – un enjeu souverain s’il en est. Elle va se poser partout ».

Il en profite pour revenir à la charge de manière indirecte sur l’histoire du HDH : « Avec d’un côté, des obligations et des labels en carton pour les entreprises françaises et européennes à qui on a demandé de faire des efforts pour rien. Et de l’autre côté, des entreprises américaines qui s’épargnent ces efforts et engrangeront les marchés au détriment de notre souveraineté, et de la possibilité pour les entreprises et les citoyens français d’être préservés du regard inquisiteur de l’administration américaine ».

« Pour le dire autrement, les acteurs français sont en train de se faire évincer les uns après les autres des marchés de leur propre pays, et ce par des entreprises étrangères qui ne respectent même pas la législation et les contraintes qu’on leur demande à eux de respecter », affirme-t-il en guise de conclusion.

La question du Health Data Hub monte à la CEDH

Après la validation par le Conseil d’État de l’autorisation de la CNIL de stocker l’entrepôt de données EMC2 du Health Data Hub dans Microsoft Azure, Clever Cloud et d’autres sociétés annoncent saisir la Cour européenne des droits de l’Homme (CEDH).

Elles rappellent que cet hébergement chez Amazon expose les données « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».

Commentaires (29)

votre avatar
« Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice »
Tout simplement.
Amis journalistes, faites le tour des micros pour précher la bonne nouvelle. Il est grand temps que tout européen se mette bien ça dans le crâne.
votre avatar
Je croyais qu'on n'avait "rien à cacher" ? :-D
votre avatar
Exemple dans ce cas: que les USA aient connaissance des contrats avec les sous-traitants d'EDF va quelque peu orienter les réponses à appels d'offre US, inspirer certains rachats, tenter des expériences de boursicotage ou ajouter quelques interlignes dans les relations internationales.
Bref on parle de location de serveurs dans le Cloud, faut garder à l'esprit que les offres SAS peuvent aussi être hébergées nimportnawak quelque soit le drapeau du commerçant.
votre avatar
Va falloir expliquer à nos mauvais amis allemands qu'il faut arrêter de cirer les pompes américaines, vu qu'ils bloquent a peu près tout ce qui ressemble à un cloud européen.
votre avatar
« Nous avons déployé un test avec Amazon, grand expert du cloud mais également de la logistique pour nous aider à optimiser la gestion de nos pièces de rechange ».

Faut-il comprendre que EDF achète ses pièces détachées de centrale nucléaire sur Amazon ? :eeek2:
votre avatar
tu préférerais aliexpress ou wish ? XD

plus sérieusement, merci pour l'article, enfin une bonne nouvelle
votre avatar
Je pense que la logistique ici, c'est surtout d'utiliser leur armée de camions qui transportent les objets d'un entrepôt à un autre.

A la rigueur, peut-être une version privée du site Amazon pour mettre en relation EDF avec les différents fournisseurs de pièces dans un style "marketplace", ou simplement une version API pour passer des commandes automatisées.
votre avatar
Probablement juste des éléments de langage du PDG d'EDF pour rassurer le contribuable sur la pertinence du choix d'Amazon ...
Faudrait pas prendre les cons pour des gens, hein (merci Fluide Glacial :D)
votre avatar
...Ma BD d'humour préférée de tous les temps ! :-D :yes: Emmanuel Reuzé, le plus lucide des auteurs ! :incline:
votre avatar
Si seulement on avait des hébergeurs en France ou en Europe. Dommage que ça n'existe pas, et que ça n'existera jamais.
Pour un haut fonctionnaire interrogé par nos confrères, la vérité serait ailleurs : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au Département de la Justice ».
Parfaitement normal. Amazon est contraint, comme ses homologues, à la loi US. Inscrire dans un contrat qu'ils la violeront rendra la clause réputée non écrite, c'est la base du droit des contrats !

Cela dit, avec des données chiffrées de bout en bout et des clés de chiffrement inconnues d'AWS (et donc conserver une solution de chiffrement externe au CSP, lui filer la clé privée revenant à lui donner les clés du château), les risques de fuite seront beaucoup plus faibles.

Dans tous les cas, quand je vois cette affaire de nœuds au cerveau, j'ai envie de dire GOTO 1 sur mon commentaire.
votre avatar
Si, si, il existe bel et bien au moins un acteur français de cloud souverain (https://fr.outscale.com/)

Par ailleurs, le cloud de S3NS n'est en aucun cas imperméable au loi US. C'est une boite noire totale. Une ancienne collègue y travail, et elle nous a dit qu'ils n'avaient aucune visu sur le trafic réseau sortant. Croire qu'un cloud souverain basé sur une techno américaine peut existé est une hérésie. Cela vous dire donner accès au code source. Je vois mal les américains faire ça vu leur façon de penser
votre avatar
L'accès au code n'est pas suffisant, il faut les ressources humaines pour l'auditeur.

Pas sur que ces projets mettent en place une équipe équivalente en nombre et en compétence avec celles de MS et Google
votre avatar
A voir la loi applicable au contrat ;)
votre avatar
Je ne connais pas le droit des contrats US, mais je doute qu'il considère la validité d'une clause illégale inscrite dessus. Donc peu importe le droit qui s'applique, j'ai envie de dire.

C'est comme si on demandait à un fournisseur d'inscrire dans son contrat qu'il ne devait pas être conforme au RGPD.
votre avatar
Si le contrat dit "ce contrat est régit par la loi française", je ne sais pas si un tribunal français considèrerait la clause comme illégale.
votre avatar
Le contrat peut être régit par la loi française, mais le fournisseur reste sous le coup de celles de son pays d'origine. La clause est donc nulle dans tous les cas puisqu'elle revient à violer une loi.
votre avatar
Tu es sûr ? J'ai un doute... La clause ne violerait aucune loi du droit applicable...

Si tu passes un contrat avec une boi6, contrat de droit français, et que la boîte déménage aux US, je doute que le tribunal français prenne en compte toutes les lois US.
votre avatar
Non, elles ne deviennent pas nulles pour un tribunal français.
La société sera condamnée par ce tribunal même si elle était obligée de laisser les autorités US accéder aux données par la loi US.

Par contre, ce sera après que les données aient été accédées et si le contracteur français en a la preuve.
votre avatar
au prétexte que cela rendrait le contrat avec EDF nettement moins juteux pour lui
sous-titre possible: Pour une poignée de dollards
votre avatar
Demie bonne nouvelle.
On s'en doutait mais c'est révélateur l'intérêt de la nation ses infrastructures au détriment d'autres secteurs:
énergie > santé > éducation
votre avatar
Joli, Flock
votre avatar
Livre ouvert à la NSA qui ensuite fera passer les infos à Westinghouse, peut-être utile dans le cas d'appels offres internationaux ?

Néanmoins la DGSE fait aussi de l'espionnage industriel, en plus de faire des feux d'artifice en arc-en-ciel pour les wallabies (avec un lien avec le sujet ici, cad civil & militaire).

Sinon, le design de nos réacteurs français de génération II (les plus anciens à 900MW) a été acheté clef en main sur étagère à Westinghouse dans les années 60 pour réduire le temps de design & développement au maximum comparé à partir de zéro.

Après EDF a un peu overclocké les nouveaux réacteurs à 1300MW et 1450MW à partir du design original du 900MW mais il semblerait que les tuyauteries des 1450MW notamment n'ont pas trop apprécié la contrainte.*

Plus tard EDF a voulu tout redesigné en repartant de zéro, une "feuille blanche" pour la génération III mais avec l'aide d'un partenaire solide & sérieux, un "ami" qui va aider et non embêter avec une double enceinte de confinement pour pouvoir recharger même quand c'est en marche. EDF, lui, tous les ans, a toujours fait & fait toujours un arrêt planifié pour changer 1/3 du combustible usagé...

Bref, Siemens s'est barré en plein milieu du projet de l'EPR de Flamanville...

Raison: après 2011 & Fukushima, l'Allemagne a soudainement réalisé l'énorme risque d'un tsunami sur les côtes allemandes... surtout les écolos en fait...

Au passage, Angela Merkel a un PhD en chimie nucléaire...

Pour schématiser: expliquer par exemple: "pourquoi l'or est jaune quand le fer est gris" et cela à partir des équations de la mécanique quantique... donc loin d'un Jospin (prof d'Histoire Géo) ou d'une Voynet (médecin) qui ont lamentablement fait fermer le joyau technologique français qu'était SuperPhénix.

Une honte et une trahison d'Etat ici. Macron avec Astrid, il mérite aussi d'être fusillé celui-là pour incompétence & ignorance crasse (Science-Po & ENA)...

(*le design de l'EPR a démarré 25 ans avant la découverte et la compréhension du phénomène complexe de corrosion sous contrainte, les 2 évènements: corrosion sur Gen II vs lancement du design Gen III ne sont donc absolument pas liés entre eux.)
votre avatar
Je n'ai pas beaucoup creuser le sujet de la corrosion sous contrainte, alors je répète bêtement ce qui m'a été dit par des spécialistes du nucléaire à EDF : les "fissures" (plutôt des usures localisées) ont été détectées grâce à l'utilisation de matériels de mesures plus précis ... ces "fissures" peuvent donc être assez anciennes, surtout qu'elles ne semblent (quasiment) pas évoluer dans le temps. Ensuite, cette usure localisée est liée à la géométrie de la tuyauterie qui a été modifiée par rapport au palier 900 MW.
votre avatar
Tout-à-fait. Les plus anciens réacteurs ont été les plus épargnés apparemment.

Et en effet ce défaut a été découvert un peu par hasard durant un contrôle de routine de tuyauterie par ultrason.
Personne ne connaissait réellement en détail ce phénomène assez particulier.
En tout cas, les ingé d'EDF qui ont fait le design des 1300MW et 1450W l'ignoraient complètement.
votre avatar
AWS est souverain dès sa conception et tous nos clients ont toujours eu un contrôle total sur l’endroit où ils localisent leurs données et qui peut y accéder
Le service comm' dans toute sa splendeur...
On leur dit "pouvez-vous nous assurer que les services étazuniens ne pourront pas accéder aux données d'EDF ?"
Ils répondent "le client a un accès total sur ses données" :roll:

Oui mais c'est pas la question en fait. Encore heureux qu'EDF accède à ses propres données ! Le problème est que d'autres y accèdent aussi... (sans qu'EDF soit mis au courant en plus...).
votre avatar
D‘où justement la question supplémentaire envoyée ce matin à AWS dès réception de leur message… mais sans réponse cette fois-ci
votre avatar
La question est tellement précise et elle appuie sur le point qui fait mal, donc, à mon avis, il n'y aura pas de réponse précise ou pas de réponse du tout.
votre avatar
C'est tétonnant !
votre avatar
Ils répondent "le client a un accès total sur ses données"
Le point important de la réponse d'AWS était surtout : "et contrôle qui a accès à ses données".

C'est justement le principe de responsabilité partagée avec le Cloud : le provider fait le nécessaire pour la confidentialité, l'intégrité, et la disponibilité (matrice CIA) des données du client, mais ce dernier est tout autant responsable du CIA que le CSP ! Si je fous tout en public sans authent, je ne pourrai décemment pas aller gueuler contre AWS, par exemple. Par contre, si AWS perd la donnée, ils sont responsables (sauf si le contrat ne le prévoie pas, tout dépend des détails comme d'hab).

Néanmoins, ce principe est mis à mal à cause des lois relatives au renseignement US. Comme @fred42 , je doute qu'il y ait une réponse formelle et franche sur ce point. Tirer les vers du nez d'un CSP n'est pas chose aisée, ils ont vite fait de tourner autour du pot ou d'éluder la question. Vécu avec l'analyse de l'usage des données pour GitHub Copilot dont la déclaration de confidentialité était trop floue (la payload envoyée au service était décrite, mais les détails manquaient).

À ce moment-là, on entre dans l'évaluation de risque.