lundi 30 janvier 2012

Google Apps et la menace du Patriot Act

L'application du Patriot Act dans le contexte du stockage des données d'entreprise induit une inquiétude de la part des entreprises françaises qui envisagent d'héberger leurs données (e-mails, agendas, etc.) sur un service cloud américain.

En effet, de nombreuses interprétations de cette loi anti-terroriste, votée dans la foulée des attentats du 11 septembre, laissent entendre que planerait sur elles le risque d'une fuite de leurs informations confidentielles vers des organisations fédérales étasuniennes. Bien que la réalité pratique de ce risque soit discutable (sauf pour les organisations réellement terroristes...) et, de fait, discutée, sa potentialité  est indéniable. Oui, aujourd'hui, des états (et pas seulement les Etats-Unis) exigent des hébergeurs de données informatiques l'accès aux contenus de celles-ci. Et parfois, obtiennent gain de cause... Est-ce à dire qu'il faut impérativement rapatrier ses données localement pour avoir la garantie que, par exemple, l'école primaire Abraham Lincoln de Louisville, Kentucky n'obtiendra pas, par l'entremise de la CIA, les relevés de note des élèves de sa concurrente, sise La Teste de Buch, Gironde?...

Le nécessaire arbitrage entre paranoïa complexe et simplicité imprudente n'est jamais évident et la perception des risques sera toujours faussée par des intermédiaires à l'objectivité douteuse (revendeurs de solutions, responsables d'entreprises engagées dans la mise en place d'un cloud français, lobbyistes de l'industrie technologique américaine, conspirationnistes anti-impérialistes, etc.). D'autant qu'on ne peut exclure l'hypothèse que, dans une période de crise économique, les tentations protectionnistes, s'accomodant d'arguments nationalistes et allègrement justifiées par des raisons sécuritaires, aboutissent à des législations extrêmes. Un jour, peut-être, un état considérera qu'il a un droit de regard sur toutes les informations qui transitent par un serveur établi sur son territoire. À ce moment-là, ce ne sont pas que les services sur le cloud qui seront sous surveillance mais bien, potentiellement, tout Internet, et avec, les Extranet sur lesquels reposent la plupart des réseaux d'entreprise modernes.  Faut-il, pour autant abandonner Internet?

Non, car les bénéfices qu'il apporte supplantent encore les risques qu'il fait encourir. Non, parce que, même si les états ont du mal à en accepter la nature poreuse, Internet s'est dotée d'une société civile de fait, composée d'utilisateurs, informaticiens, corporations, politiciens progressistes, qui régulent autant que faire se peut ses "frontières électroniques". On pensera par exemple à la façon dont la coupure d'Internet par le gouvernement égyptien a été en partie contournée par une action collective entre Google et Twitter. Ou bien à la forte mobilisation qui a permis de repousser/reporter l'adoption des lois PIPA et SOPA si controversées.

Il en est de même avec les technologies du cloud: leurs bénéfices potentiels sont tels (en termes économiques, pour les prestataires et les contractants, en termes écologiques, compte-tenu de la rationalisation des dépenses énergétiques et, de manière plus latente, par rapport à la révolution sociétale qu'induit la possibilité du travail à domicile) que les états hésiteront à en soustraire la moelle.

Mais la crainte subsiste. Et comme toutes les craintes, celle-ci gagne à être analysée de manière rationnelle. Pour ce faire, nous vous proposons, ci-après, un outil simple d'aide à la prise de décision.
Diagramme de décisionGoogle Apps vs Patriot Act

4 commentaires:

  1. merci pour cette analyse enrichissante.
    Il nous faudrait maintenant un autre diagramme nous permettant de lutter efficacement contre la paranoia des decisionnaires...

    RépondreSupprimer
    Réponses
    1. Êtes-vous sûr que la paranoïa est principalement le fait des décisionnaires? Il me semble qu'elle soit plutôt véhiculée par les responsables techniques en charge de conseiller les décisionnaires. Qu'en pensez-vous?

      Supprimer
  2. Une autre solution ne serait-elle pas d'exiger que les données de l'utilisateur (institution française locale par exemple) sur Google Apps ne soit stockées que sur des serveurs localisés en Europe et donc hors du champ d'application de Patriot Act ?

    RépondreSupprimer
    Réponses
    1. Outre la difficulté technique que représenterait cette mesure et la réduction théorique de l'efficacité du système consécutive à la limitation des lieux de stockage potentiels, ce serait malheureusement insuffisant. En effet, le Patriot Act s'applique aux entreprises américaines indépendamment du lieu où elles stockent les données...

      Supprimer