Tandis que l'Assurance Maladie va faire héberger des données de patients destinées à la recherche dans l'infrastructure cloud de Microsoft avec un aval un peu contraint de la CNIL faute de disposer d'une structure équivalente en Europe, la question de l'hébergement de données sensibles sur des serveurs étrangers revient sur le devant de la scène dans un autre cadre.
Le Canard Enchaîné a révélé que le groupe EDF allait confier une partie de ses données associées à la planification de la maintenance des centrales nucléaires au groupe Amazon.
Dilemme entre souveraineté de sécurité et nécessités industrielles
Des informations liées au parc nucléaire français seront donc hébergées sur les serveurs de l'infrastructure cloud AWS dans un effort de numérisation de ses systèmes d'information et en prévision de besoins accrus avec l'effort de construction de plusieurs centrales nucléaires ces prochaines années et d'une transition énergétique qui va demander une production électrique fortement augmentée pour compenser l'abandon des énergies fossiles.
EDF fait appel à Amazon pour gérer une partie des données numériques de son parc nucléaire. Un marché à 860 millions d’euros. De quoi faire disjoncter certains cadres qui pointent un problème de cybersécurité...
— Le Canard enchaîné (@canardenchaine) February 14, 2024
✏️ Diego Aranega
➡️ https://t.co/Tpwe6OBCXa pic.twitter.com/PbuS745DsQ
EDF a confirmé l'existence de ce partenariat avec Amazon, parmi d'autres fournisseurs d'infrastructures, dans le cadre d'un contrat de 860 millions d'euros (chiffre avancé par le Canard Enchaîné) dont le groupe n'a pas spécialement caché l'existence mais dont il ne s'en est pas vanté non plus.
S'il affirme que tout a été fait "dans le respect des exigences en termes de cybersécurité" et du cadre européen, la présence de ces données concernant le parc nucléaire français, et la question de leur accès potentiel par les autorités américaines, pose un certain nombre de questions.
Le défi de la mise à l'échelle des structures européennes
La question de souveraineté nationale ou européenne des données est un concept important mais qui ne fait pas le poids s'il n'existe pas d'infrastructure suffisante à mettre en regard.
EDF ne souhaite pas commenter les détails du contrat avec Amazon protégé par le secret industriel et commercial mais l'absence d'alternative technique locale pose clairement problème pour la sécurité de données sensibles qui se retrouvent de fait placées sur des serveurs à l'étranger.
L'industriel a pourtant besoin de faire progresser ses systèmes et d'optimiser ses processsus, sans forcément pouvoir attendre que les moyens soient à la hauteur des ambitions d'une souveraineté essentielle pour l'avenir mais pas encore disponible en pratique.
Il est évidemment toujours gênant de vanter l'importance d'un cloud souverain et de la protection des données d'un côté et de ne pas pouvoir faire autrement que de confier ces données à des acteurs directement visés par les craintes d'espionnage industriel de l'autre.
Pour Amazon, c'est évidemment une excellente affaire et une emprise avant l'instauration du Data Act européen en septembre prochain qui durcira les conditions d'accès aux contrats pour les fournisseurs de cloud américains.
