Le Journal du Net (JDN) révèle qu'Amazon Web Services (AWS) préparerait une offre de « cloud de confiance » avec Atos :
« D'après plusieurs sources concordantes recueillies par le JDN, le groupe de Jeff Bezos a signé un accord avec Atos en vue de proposer ses services cloud sur une infrastructure isolée des législations extraterritoriales. Une infrastructure qui sera pilotée par le groupe français. Le projet est en préparation depuis plusieurs mois. »
« Après Microsoft qui s'associe à CapGemini et Orange (Bleu), Google qui s'associe à Thalès (S3NS), au tour d'Amazon AWS de s'associer avec Atos pour créer une offre de cloud dite "de confiance" censée échapper à l'extraterritorialité des lois américaines. », commente Guillaume Champeau sur Twitter.
« Depuis le temps qu'on attend que l'annonce soit faite.... (ça fait plus d'un an que le projet est évoqué dans les arcanes du cloud) » relève de son côté David Legrand. Tous les deux travaillent chez Clever Cloud.
Cette annonce intervient « alors qu'Atos traverse une mauvaise passe », souligne le JDN. Son chiffre d'affaires a en effet « reculé de 2,5 % en 2021 et de 0,6 % au premier semestre 2022 », et « la valeur de son action a été divisée par huit depuis début 2021 ».
Au point qu'en juin, le groupe a annoncé un projet de scission, en deux entités. La première regrouperait ses prestations d'infogérance, « en perte de vitesse », la seconde « ses activités en forte croissance : conseil en numérisation, cybersécurité, serveurs haute performance et supercalculateur » :
« Baptisée Evidian, c'est cette deuxième entité qui sera en charge de porter le partenariat avec AWS. »
Commentaires (33)
#1
Je sais pas pourquoi, mais y’a des mots dans cette phrase qui ne concordent pas dans ma tête.
#1.1
Wopinaise, ça m’a fait le même effet ! Un défaut dans l’énoncé !
C’est comme les Mulliez qui te font signer des clauses de non concurrence de malade, mais qui mettent leurs précieuses données chez M$, Google, et p’têt même Amazon. Amazon ! Ah ah ah !
#2
Atos et confiance, c’est bizarre cette association de mot…
#2.1
C’est ce que je me suis dit aussi… Mais peut-on s’étonner de ce nouveau mariage foireux avec l’eurotraître Breton ex-Atos ?
Le bilan de l’UE en souveraineté est tout simplement édifiant : toujours aucune machine GNU/Linux sous Mint ou Ubuntu Mate en magasin ! Les années passent, les collabos restent, la corruption de l’UE s’étend et devient toujours plus débile, à qui veut bien la voir. Et on continue de cultiver le légume sur canapé en lui promettant encore et toujours, depuis 50 ans, une “autre Europe”…
Comment voulez-vous de la souveraineté, quand vous êtes à ce point vendus à l’état profond US ?
#3
Il paraît qu’en math, moins et moins ça fait plus.
Bah faudra leur dire que ça marche qu’en math …
#4
Il faut changer le titre : Atos devient le cheval de Troie d’Amazon
Sérieusement, le fait que ce montage bancal échappe à l’extra-territorialité des lois américaine, je n’y crois pas un seul instant. Attendons de voir ce que ça donne à l’épreuve des tribunaux.
#4.1
vu le caractère viral des lois en question, je confirme, il n’y a aucune chance de leur échapper.
#4.2
À partir du moment où aucun employé d’AWS n’a accès à la structure créée, les lois des USA, même extraterritoriales ne peuvent rien pour ordonner l’accès aux données hébergées en France par AWS dans une structure pilotée par une société française.
Par contre, le point faible de ce montage est la société Atos elle-même et ses activités aux USA.
Mais Jeff Bezos ne sera pas inquiété avec une telle structure.
#4.3
Pas sur. J’ai lu un article dernièrement* qui indiquait une étude de droit qui montrait que le cloud act pourrait s’appliquer même si les données hébergées ne passent pas un serveur américain. Il suffirait seulement que les données soient traités via un programme américain.
Par exemple ci dessous
*https://www.latribune.fr/technos-medias/internet/bleu-s3ns-pourquoi-les-offres-cloud-de-confiance-seront-certainement-soumises-au-cloud-act-928831.html
#4.4
Mon commentaire était fait en fonction de cette étude (qui est en lien dans ton lien) et que j’avais déjà lue.
Ce à quoi tu as l’air de te référer, mais comme tu ne cites pas le passage, c’est difficile d’être sûr c’est probablement à :
Mais dans les montages comme Bleu de Capgemini, Orange (with Microsoft) ou celui-ci, ce n’est pas possible par le logiciel parce que les entités US contractantes n’ont aucun accès par le logiciel aux données. Mais il faut se méfier des routeurs Cisco : il ne faut pas que Cisco y ait accès à des fins de maintenance.
Il faut vraiment qu’il n’y ait que des sociétés sans lien fort avec les USA qui aient accès à l’infrastructure logicielle et matérielle. C’est possible de s’organiser ainsi.
#4.5
Merci pour d’avoir pris le temps de me répondre. Pour moi c’est pas si clair que cela. Je pense peut être à tort comme un complotiste 😉 que le CLOUD ACT s’applique sur les données si elles sont traités par un logiciel américain (ici ceux développés par AWS) indépendamment du fait qu’elles ne passent pas par serveur US ou soit traités par un américain.
C’est donc tout l’intérêt de faire des logiciels qui n’ont aucun liens avec une boîte américaine et donc de développer/utiliser des programmes open sources européens pour un vrai cloud souverain
En passant ta remarque sur les routeurs CISCO et les possibles backdoors est évidemment pertinente
#4.6
D’accord avec toi sur la fin.
Mais le Cloud Act ne peut réellement s’appliquer que si la justice des USA peut obliger quelqu’un à agir pour récupérer des données. L’obligation est liée au fait de pouvoir être condamné à de très grosses amendes ou de la prison.
Si ceux qui fournissent les logiciels n’ont aucun contrôle sur l’infrastructure où ces logiciels tournent, ils ne peuvent accéder aux données.
Mais comme je le dis plus haut, le risque le plus fort est l’exposition d’Atos elle-même (ou des autres sociétés françaises qui offrent avec des sociétés US du cloud souverain) au marché US et donc à sa justice. Revoir ce qu’en dit l’étude que tu as citée, c’est un peu complexe.
#5
“une infrastructure isolée des législations extraterritoriales”
Ah bon ? Bezos, citoyen américain, peut dire un gros “fuck” comme ça à la législation de son pays (Cloud Act) ? Et ça passe, vraiment ?
Ou bien en fait Atos nous prend pour de grosse quiches et espère que les entreprises seront assez incultes pour que ça passe ?
#6
Atos, une bonne grosse boite à la française comme on en voit sur les caricatures. Dirigé par une brochette de marketeux et financier. Leur objectif n’est plus de faire de la tech, mais du chiffre. Après, toutes les boites de tech du cac40 font la même, vivre de subvention et de copinage, raconter n’importe quoi aux politiques, ou les acheter. Mais rien d’étonnant vu que tous sortent des mêmes écoles où on leur apprend la technique de l’autruche pour ponctionner un maximum avant de se barrer. Petite dédicace à thierry.b.
#7
Ok, donc le “cloud souverain” (qu’ils ont quand même renommé) est certifié pour Amazon, Google, Microsoft.
Rien en vue avec Apple et Facebook ?
#8
En fait le but des “cloud de confiance” c’est d’être monté avec toutes les entreprises s’étant faites piratées dans les 5 dernières années c’est ça ?
#9
Magnifique article rempli d’oxymore …
#10
Evidian? Euh … le nom n’est-il pas déjà pris?
Sinon, j’ai un slogan:
“Evidian, la confiance est une farce”
#10.1
Toujours très à propos tes interventions.
Faut-il le rappeler: le cloud, c’est l’ordinateur d’un autre.
#10.2
Oui, nom d’une solution qui appartient à ….Atos ;) Mais je suis d’accord, en terme de visibilité on a fait mieux.
#10.3
J’adore
#11
On dirait des chanteurs américains qui sont obligés de se mettre en duo avec des Français pour pouvoir passer à la radio…
#12
On est d’accord que l’objectif majeur de tous ces cloud dits souverains ou de confiance c’est avant tout de rassurer contractuellement parlant les entreprises et administrations qui feront appels à ces services.
Même si c’est un jeu de dupes et que tout le monde le sait, au moins le jour où il y aura une fuite d’informations, les responsables de l’organisation cliente pourra dire “oui mais regardez on utilise un cloud souverain monsieur, nous on fait les choses sérieusement ici !”
Sinon la seule façon de s’assurer la confidentialité de ses données vis à vis des voisins, c’est de les chiffrer et d’avoir la maitrise de ce dernier.
Bien sûr c’est plus facile à dire qu’à faire, surtout dans le cas de données en transit et en cours d’utilisation.
#13
Je ne comprends pas le passage qui dit que les éditeurs américains n’ont pas accès aux logiciels alors que ce sont eux qui les fournissent et qui vont servir de base à toutes ces offres de services estampillées de confiance.
Cest dans le logiciel qu’est une bonne partie de la chaîne de valeur et du contrôle de l’information il semble.
#14
Oui, ils les fournissent mais ensuite c’est géré uniquement par les Français, ils ne peuvent donc pas accèder au contenu. C’est étanche.
#15
#16
Comment peut-on en être sûr sans avoir la maitrise du code fournit ?
#17
En ne leur donnant aucun accès réseau sur la structure ?
#18
Quelque chose m’échappe peut-être mais s’il est aussi simple de se prémunir de l’espionnage même en utilisant des logiciels conçus par des entreprises étrangères, je ne comprends pas tout le foin qui est fait sur les risques résiduels des offres de cloud de confiance et compagnie.
#19
Parce que ceux qui commentent le plus sont ceux qui s’y connaissent le moins, comme d’hab.
Les PC, les téléphones, les équipements réseaux, les firmwares … Tout est américain. Et je ne parle même pas des solutions logicielles, où l’offre Française de qualité pour un usage intense n’existe pas.
Quand bien même on arriverait à une solution totalement souveraine, on aurait 2 problème :
1/ Qui (pas le techos de base, mais bien en décideur métier/business) serait prêt à payer 10-20-30% plus cher qu’un provider standard pour une solution en demie-teinte (car amputée de pleins de fonctions) ?
2/ Avec une solution totalement déconnectée, l’infra sera plus sensible aux dernières attaques, car la définition des IoC/TTP ne sera plus faite en temps réel, sans compter qu’un SIEM/xDR qui tourne sur du local aura forcément une scalabilité et une puissance moindre, donc n’agira pas en temps réel. Du coup, la première 0-day exploitée par un acteur étatique va être un carnage. Mais au moins, l’honneur sera sauf, on aura mis du Tethris et du Stormshield, c’est français et c’est le seul critère de qualité voyons.
Même G. Poupard et M. Van Den Berghe ne sont pas aussi dogmatique qu’ici sur la souveraineté … Mais bon, puisqu’on vous dit que NextCloud chez OVH sur un kimsufi ça marche bien, c’est bien que c’est la seule réponse pour la vie réelle, validée par les vrais sachants des commentaires. :]
#19.1
Ta réponse est hors sujet. Le cloud de confiance tel qu’il est mis en place pour l’instant protège juste des lois extra territoriales des usa. C’est le même logiciel qui tourne mais il est opéré uniquement par des français (ou membres de l’UE). Et tu as de bons arguments pour lui dans le lien. Celui du respect du RGPD est assez fort. Et avant de mettre Poupard dans ton argumentaire, n’oublie pas que c’est l’ANSSI qui donne le visa pour être SecNumCloud.