Le partenariat à 860 millions d'euros envisagé entre EDF et Amazon Web Service pour l'hébergement des données sensibles nucléaires tombe à l'eau

Un signal d'alarme pour la souveraineté numérique française

Le partenariat envisagé entre EDF et Amazon Web Services (AWS) pour l'hébergement des données sensibles liées à la maintenance des centrales nucléaires françaises a récemment échoué, mettant en lumière des préoccupations majeures en matière de souveraineté numérique et sur d’éventuels risques d’espionnage industriel. Malgré un test concluant, AWS se serait rétracté, d'après certains médias : « l’américain a refusé de se plier aux exigences de ce "cloud souverain", au prétexte que cela rendrait le contrat avec EDF nettement moins juteux pour lui ». L'entreprise a réagi en assurant n'avoir « qu'AWS est heureux de travailler avec EDF, et nous n'avons pas refusé de signer un contrat avec le groupe ». EDF, pour sa part, s'est refusée de tout commentaire.

Au début de l'année, EDF avait sélectionné plusieurs partenaires technologiques, dont AWS, pour moderniser son système d'information de gestion, notamment en ce qui concerne la maintenance prédictive des pièces détachées de ses centrales nucléaires. Cette collaboration visait à optimiser la gestion des pièces de rechange et à améliorer l'efficacité opérationnelle des installations nucléaires.

Avec ce contrat, EDF voulait confier à la filiale d'Amazon la gestion logistique prévisionnelle de ses 56 centrales, le tout dans une démarche de maintenance prédictive. En clair, surveiller en continu l'état des stocks et celui des différentes pièces techniques de chaque réacteur, afin d'être en mesure de les remplacer au moment opportun.

Cependant, des inquiétudes ont rapidement émergé quant à la souveraineté des données. Les services de renseignement français ont exprimé des réserves, exigeant que les données collectées par AWS soient stockées sur des serveurs situés en France, afin de les protéger des législations extraterritoriales américaines, telles que le Cloud Act. En vertu de cette loi, tous les fournisseurs de services cloud américains, de Microsoft à IBM, en passant par Amazon, doivent, lorsqu’ils en reçoivent l’injonction, fournir aux autorités américaines des données stockées sur leurs serveurs, quel que soit leur emplacement. Étant donné que ces fournisseurs contrôlent une grande partie du marché du cloud en Europe, la loi pourrait potentiellement donner aux États-Unis le droit d'accéder à des informations sur de larges pans de la population et des entreprises de la région.

Les États-Unis affirment que la loi vise à faciliter les enquêtes. Toutefois, certaines personnes établissent un parallèle entre la législation et la loi sur le renseignement national que la Chine a mis en place en 2017, exigeant que toutes ses organisations et ses citoyens aident les autorités à accéder à l'information. La loi chinoise, qui aux États-Unis est un outil d'espionnage, est citée par l'administration du président Donald Trump comme une raison d'éviter de faire affaire avec des sociétés telles que Huawei Technologies.

Interrogé par nos confrères « Les Echos », Philippe Latombe, député Modem et spécialiste des questions numériques, explique que « pour bénéficier du logiciel de gestion de stock très performant d'Amazon, il faut aussi confier ses données à AWS. C'est un package ».

« Les data logistiques de maintenance dont il est question donnent une vision complète de l'état du parc nucléaire français. Vous savez quand une centrale sera à l'arrêt, donc quand la production d'électricité baissera. Le tout corrélé avec les données météorologiques, vous avec une idée de la dépendance énergétique française. C'est extraordinairement stratégique », a-t-il continué.

Une situation que le PDG d'EDF a tenté d'endiguer : « Nos données confidentielles sur les centrales nucléaires ne seront pas sur le cloud. Elles restent dans des bases protégées et ne sont évidemment pas partagées »

EDF aurait alors demandé à AWS de stocker ses données dans un data center en France. Sauf « qu'Amazon, et les autres géants du secteur, sont incapables de localiser leurs données. Microsoft l'a notamment reconnu auprès de l'autorité de la police écossaise en juin dernier », ajoute Philippe Latombe. Faute de pouvoir inscrire noir sur blanc dans le contrat que les données d'EDF seraient stockées en France, AWS aurait donc été contraint de se rétracter.


Des alternatives à explorer

EDF se tourne désormais vers des solutions alternatives, notamment S3NS, une coentreprise entre Thales et Google Cloud, qui serait imperméable au Cloud Act et autres réglementations américaines telles que la Section 702 du Foreign Intelligence Surveillance Act (FISA). C’est du moins la promesse des protagonistes.

En effet, S3NS est dans le processus de certification SecNumCloud de l’ANSSI. Dans un communiqué de presse, l’entreprise commune entre Thales et Google – mais « entièrement contrôlée par Thales » – annonce avoir franchi la première étape dans sa demande de certification SecNumCloud :

La gestion par Amazon devait faciliter les opérations de maintenance prédictive et éviter d’éventuels retards sur le redémarrage de réacteurs dans le cadre de maintenances programmées. L’optimisation de ces opérations de maintenance est vitale face au prolongement de la durée de vie des réacteurs français. Mais confier cette mission à une entreprise étrangère aurait pu exposer le parc nucléaire français à des risques d’espionnage ou de cybersécurité malgré les règles européennes et le fait que les données soient totalement indépendantes des systèmes informatiques de pilotage des centrales.


« La même question de l'enjeu souverain se pose maintenant aussi pour la plateforme des appels d'offre de l’État »

Sur X, Jean-Baptiste Soufron, avocat des requérants contre la décision de la CNIL d’autoriser le HDH chez Microsoft (ex-secrétaire général du Conseil national du numérique), revient sur l'affaire des données hébergées de Health Data Hub :

« Aujourd'hui, comme l'explique le @canardenchaine, c'est EDF qui se retrouve confronté à l'extraterritorialité du droit américain et à l'inexistence d'une protection sérieuse de ses droits ou de ceux de ses usagers une fois les données sont traitées par des entreprises d'outre-atlantique.

« La même question se pose maintenant aussi pour la plateforme des appels d'offre de l’État - un enjeu souverain s'il en est. Elle va se poser partout.

« Avec d'un côté, des obligations et des labels en carton pour les entreprises françaises et européennes à qui on a demandé de faire des efforts pour rien et de l'autre côté, des entreprises américaines qui s'épargnent ces efforts et engrangeront les marchés au détriment de notre souveraineté, et de la possibilité pour les entreprises et les citoyens français d'être préservés du regard inquisiteur de l'administration américaine.

« Pour le dire autrement, les acteurs français sont en train de se faire évincer les uns après les autres des marchés de leur propre pays, et ce par des entreprises étrangères qui ne respectent même pas la législation et les contraintes qu'on leur demande à eux de respecter.

« Et, comme l'explique très bien @tariqkrim, des subventions françaises et européennes dédiées à la recherche et à l'innovation qui servent de plus en plus à payer les entreprises étrangères qui développent les infrastructures indispensables pour faire tourner les projets sélectionnés.

« Le tout sous les yeux des responsables français de la politique dite de "transition numérique" dont on peut admirer aujourd'hui le bilan des dix ans de leur action ».

Avec @nexedi , @clever_cloudFR, @cleyrop et bien d'autres, cela fait maintenant des années que nous nous battons contre les choix du Health Data Hub et pour la souveraineté des données de santé, que ce soit au Conseil d'Etat, à la CADA ou ailleurs.

Pour tout dire, c'était…

— Soufron (@soufron) December 25, 2024

Enjeux plus larges pour la souveraineté numérique européenne

Cette situation illustre les défis auxquels sont confrontées les entreprises européennes lorsqu'elles collaborent avec des fournisseurs de services cloud non européens. Elle souligne l'importance de développer des infrastructures cloud souveraines en Europe pour garantir la protection des données sensibles et l'autonomie numérique face aux législations étrangères potentiellement intrusives.

En conclusion, l'échec du partenariat entre EDF et AWS met en évidence la nécessité pour les entreprises stratégiques européennes de privilégier des solutions technologiques qui assurent la souveraineté et la sécurité de leurs données, tout en respectant les réglementations nationales et européennes en matière de protection des informations sensibles.

Sources : S3NS, AWS, EDF

Et vous ?

Quelle devrait être la position de la France face à la dépendance aux géants étrangers du cloud comme AWS ?

Le risque d’exposition des données sensibles est-il plus élevé lorsqu'elles sont hébergées par des entreprises non européennes ?

Quelle est la responsabilité des entreprises stratégiques comme EDF dans le choix de leurs partenaires technologiques ?

Les lois extraterritoriales comme le Cloud Act américain devraient-elles inciter les États européens à accélérer la création de solutions nationales ?

Faut-il imposer des réglementations plus strictes pour obliger les fournisseurs de cloud étrangers à s’adapter aux exigences locales ?

Les fournisseurs de cloud européens sont-ils suffisamment compétitifs en termes de performance et de coût face à AWS ?

Quels sont les freins à la mise en œuvre rapide de solutions locales ou européennes pour les données stratégiques ?

Une collaboration public-privé pourrait-elle accélérer le développement d’un cloud souverain en France ?