En janvier et Février 2013 nous avons eu l’occasion, en conférence au FIC (Forum de la cybercriminalité (Lille)) d’expliquer en quoi consistait le Patriot Act. (l’affaire Snowden n’était pas publiée (Mai 2013). J’étais sur la scène auprès du responsable de la BU sécurité de Bull et le resp. de la cybersécurité de Thalès. J’ai repris mes notes pour vous les faire partager.

La plupart des professionnels ne savaient notamment pas que seule la nationalité de l’éditeur impliquait l’adhérence au Patriot Act.

Je trouve le moment intéressant pour reprendre des notions de base qui ont emmené à l’affaire Snowden, tant il se raconte tout et n’importe quoi à ce sujet. J’y englobe les prétendus experts souvent en conflit d’intérêt, voire financés par certains lobbys.

A noter que nous interviendrons de nouveau au FIC en janvier 2014 au cours de 2 conférences.

Notes de l’intervention d’ITrust au FIC 2013, Janvier. Lille. Conférence cybersécurité. « Souveraineté des données et cloud computing »

Contrairement aux éditeurs américains, la solution européenne IKare, de management des vulnérabilités, n’est pas soumise au Patriot Act.

Rappelons en effet, que tout éditeur ou hébergeur US qui héberge des données de ses clients a l’obligation de fournir libre accès au gouvernement des États-Unis à toutes les données que les services US jugeraient utiles pour la sécurité de leur territoire. Cette règlementation initiée par le Patriot Act suite au 11 septembre 2001 s’applique à toute société immatriculée aux États-Unis. De ce fait, un éditeur américain, bien qu’il dispose d’un centre informatique ou d’une filiale en Europe, ne peut pas garantir que les données des entreprises européennes resteront confidentielles.

Il est à noter que l’éditeur américain a l’interdiction de déclarer à ses clients qu’il répond à une injonction des services de l’Etat américain.

A propos du SafeHarbor qui est souvent mentionné par les éditeurs américains comme argument de conformité à la directive européenne de protection de données :

“Il en résulte l’ineffectivité du dispositif « Safe Harbour » pour garantir la confidentialité des données hébergées auprès de sociétés de droit américain ou dans des serveurs situés aux Etats-Unis.” (source : les echos)

Qu’en est il si l’éditeur américain héberge son application en Europe avec un partenaire soumis au droit européen ?

Les données présentes dans l’application de l’éditeur américain sont tout de même soumises au Patriot Act.

Qu’en est il si les données sont hébergées par une filiale européenne de l’éditeur américain ?

Cette filiale est toute de même soumise au Patriot Act US.

En conclusion :
Seul un éditeur européen ou dont le siège est situé en dehors des Etats-Unis, a la capacité à garantir la sécurité des données des clients. Il n’est pas soumis au Patriot Act américain.

Ces éléments sont basés sur des sources provenant d’organismes officiels, notamment : CNIL, ENISA.

Références :

“La législation résultant de la mise en œuvre de l’USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to intercept and Obstruct Terrorism act), datée du 26 octobre 2001, prolongée jusqu’en juin 2015, impose aux entreprises de droit américain, ainsi qu’à leurs filiales dans le monde, et aux serveurs hébergés sur le territoire des Etats-Unis quelle que soit la nationalité des entreprises qui les exploitent, ainsi qu’aux données hébergées en Europe par des sociétés de droit américain, des obligations permettant aux services de sécurité américains d’accéder à des données à caractère personnel. Sont donc concernées l’ensemble des données relatives à une personne physique stockées dans des fichiers informatiques hébergées dans le Cloud ” (source : Le Monde).

http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf
Les dispositions du USA PATRIOT ACT sont contraignantes et donc opposables aux entreprises ayant leur siège aux Etats-Unis, ainsi qu’à leurs filiales - qu’elles soient américaines ou étrangères, ainsi qu’aux sociétés dont les serveurs se trouvent aux Etats-Unis ou en dehors du territoire américain (par application du principe d’application du droit du PATRIOT ACT dans l’espace).

Lien et référence annexes.

http://www.lemondeducloud.fr/lire-acces-aux-donnees-dans-le-cloud-l-ue-confrontee-au-patriot-act-americain-34152.html
Microsoft aurait déjà pu transférer les données européennes aux États-Unis en vertu de l’accord Safe Harbor. Mais les experts juridiques estiment que cet accord « vaut à peine le papier sur lequel il est écrit. » Celui-ci comporte le respect de sept principes, dont la protection raisonnable des données, et une application clairement définie et effective. Cependant tout cela perd toute valeur si le Patriot Act est invoqué. « Je crains que l’accord Safe Harbor n’ait désormais très peu de valeur, dans la mesure où il apparait que les entreprises américaines qui proposent de conserver les données dans un cloud européen soient encore obligées d’autoriser l’accès à ces données au gouvernement américain sur la base du Patriot Act », a déclaré Theo Bosboom, un avocat expert dans les questions technologiques au sein du cabinet Dirkzager Lawyers. « Les Européens feraient mieux de conserver leurs données en Europe. Si un partenaire européen propose une solution cloud en Europe et offre la garantie que les données resteront au sein de l’Union européenne, alors c’est sans aucun doute, sur le plan juridique, le meilleur choix. »
http://www.itespresso.fr/easyvista-le-patriot-act-risque-pour-les-donnees-confidentielles-dans-le-cloud-51623.html http://www.silicon.fr/avis-dexpert-le-patriot-act-risque-majeur-pour-la-confidentialite-des-donnees-dans-le-cloud-72738.html

http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/internet/221144488/usa-patriot-act-risque-majeur-confidentialit

Cet état des lieux concernant le Patriot Act est à mettre en perspective avec les préconisations des principales instances légitimes :

Petit rappel du contexte et préconisations des instances :

A. Le dernier livre blanc de la défense nationale (Mai 2013) édicte en priorité nationale le développement d’une industrie de la sécurité des systèmes d’information qui puisse être soutenue par la commande publique. C’est un enjeu de souveraineté qui nous dépasse mais constitue une priorité pour l’économie française et les emplois.

“Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel.” (Page 105)

Le document « Livre blanc » est disponible ici : http://www.elysee.fr/assets/pdf/Livre-blanc-sur-la-Defense-et-la-Securite-nationale.pdf

Cette stratégie industrielle “s’appuiera notamment sur le maintien de réseaux de haute sécurité irrigant les autorités de l’État, sur une politique appropriée d’achat public et sur une gestion adaptée des équipements de communications …”

B. Le Ministre du Redressement Productif

« Le ministre est également revenu sur l’impact de l’achat public sur le tissu économique français et la nécessité de privilégier le « Made in France » malgré les règles européennes. « Nous sommes une passoire dans la mondialisation déloyale. Aux Etats Unis d’Amérique, les pourcentages (NDLR d’achats publics) sont plus faibles, car le champ public est plus réduit. Mais il est 100% fermé ! Il y a le « Buy American Act ». Je suis désolé, utilisez les règles de la réciprocité. Observez le comportement des entreprises, leur nationalité, le lieu de production, le lieu de localisation. Si on vous enquiquine, je vous couvre. J’irai plaider votre cause auprès des Bruxellois ! ».

D’avantage d’informations :

http://www.actu-cci.com/entreprises-services/12885-bercy-l-etat-prone-l-achat-innovant-a-ses-services

C. Plusieurs rapports officiels récents demandent aux administrations publiques d’avoir une préférence nationale dans le domaine de la sécurité des données :
– En juillet 2012, dans son rapport sur la cyber-sécurité, le sénateur Boeckle préconise d’utiliser des outils de sécurité français,
– En juin 2012, la CNIL, dans son rapport sur le Cloud (1) et le SAAS (2), préconise d’utiliser en priorité des solutions européennes,
– tandis que le 30 juillet 2012, dans "Le Monde", Monsieur F. Hollande, Président de la République Française, appellent les responsables publics "à faire valoir, autant que possible, le travail en France".

Je n’ai pas abordé le sujet de la certification des produits de sécurité mais c’est aussi un élément essentiel de souveraineté. Cependant le process de certification a ses faiblesses et ne peut pas garantir une totale confidentialité (il est en effet très difficile de maintenir et garantir une certification produit lors de releases majeures et régulières) . Pour plus d’informations : certifications par l’ANSSI : http://www.ssi.gouv.fr/fr/certification-qualification/

Toutes ces notions sont importantes pour toute entreprise qui doit garantir la confidentialité de ses données ou celles de ses clients.
Il n’est pas dans mon intention en rappelant ces faits de discréditer des produits et solutions de sécurité non européennes mais d’expliquer le fondement même de ce qui fait qu’une solution peut garantir la confidentialité des données d’une entreprise ou d’une personne. Seule une solution dont le code est audité régulièrement (Open source ou certifié par une agence européenne) peut garantir un certain niveau de sécurité. Une solution d’un éditeur américain est soumise au Patriot Act et ne peut pas garantir un niveau certain (excepté si elle est certifiée par l’ANSSI sur un périmètre de labellisation cohérent : rappelons en effet que Windows NT4 était labellisé sans la couche IP, ce qui n’a aucun intérêt. Et l’on se rappellera aussi l’existence sur ce même windows de la backdoor MagicLantern qui avait été mise en place par l’état américain.) Une solution européenne (dont l’éditeur est de droit européen) n’est pas soumis au Patriot Act et a davantage de chances de vous garantir un haut niveau de sécurité.