Les entreprises américaines du cloud lésées par l'affaire Prism ?

Barack Obama est fâché. Le président américain a annulé
sa rencontre avec Vladimir Poutine,
après que la Russie eut accepté l'exil temporaire d'Edward Snowden. L'ex-conseiller de la NSA a révélé début juin l'existence du programme de surveillance américain Prism.

Depuis, cette affaire a eu de multiples répercussions diplomatiques. Et on le voit, ce n'est pas fini. Mais au-delà des enjeux de politique américaine et internationale, pourrait-il y avoir un
réel impact commercial ? Alors que neuf géants de l'Internet (Apple, Google, Facebook, Microsoft, Yahoo, Paltak, AOL, YouTube et Skype) collaborent avec les
services américains de renseignement,
la confiance que leurs clients ont en eux pourrait-elle en pâtir ? Ces géants
du "cloud computing" (le nuage mondial où sont stockées les données)
vont-ils perdre des clients ? Bref, l'affaire Prism peut-elle impacter l'économie américaine ?

C'est la question que s'est posée la Cloud security alliance
(CSA),
association dédiée à la sécurité du cloud qui revendique 400.000 membres à
travers le monde. Un sondage mené auprès de ses membres aux mois de juin et
juillet dernier (résultats du sondage ici)
révèle une baisse de confiance envers les services fournis par ces géants américains (environ 500 entreprises interrogées, dont la moitié basées aux Etats-Unis).

Une certaine "méfiance" vis-à-vis des prestataires américains du cloud

Ainsi, parmi les entreprises non-américaines qui ont répondu à ce sondage,
10% indiquent avoir abandonné un projet avec un service de cloud-computing
américain depuis la révélation de l'affaire Prism. 56% indiquent que cela les
pousserait à moins utiliser les services d'une compagnie américaine. Les membres américains, eux, sont 36 % a estimer que
l'affaire Snowden va compliquer leur développement à l'international. 

Mais attention, les entreprises interrrogées ici sont membres de la Cloud security alliance, donc très au fait et très en pointe sur les questions de sécurité du cloud. Ce ne sont pas n'importe quelles entreprises. "***Ces gens-là ont pris une conscience accrue, ou ont décidé de prendre des précautions complémentaires vis-à-vis des opérateurs de cloud américains, et en conséquence ils préfèrent s'intéresser de plus près aux offres d'autres pays, et pour les Européens aux offres européennes * ", explique Olivier Caleff, un des représentant de la Cloud security alliance en France.

Même si pour Olivier Caleff, de la Cloud security alliance, "les
gens se sont plutot basés sur tout ce qu'on a dit de l'affaire Prism, sans
savoir si c'était vrai ou pas, ou complètement vrai ou pas ". Mais en tout cas -pour les membres de ce sondage encore une fois - il y a dorénavant "une certaine
méfiance " au niveau de la confidentialité quand ils externalisent leurs données.

Suite à ce sondage, l'ITIF (the Information Technology
& Innovation Foundation), un think tank américain, a réalisé une étude (à lire ici en anglais)) où elle extrapole sur le coût pour l'économie américaine du cloud. Elle
en déduit que celle-ci va perdre de 22 à 35 milliards de
dollars sur les trois prochaines années, suite à l'affaire Prism. Plutôt inquiétant vu comme ça. Pour y remédier, le think tank demande plus de transparence au gouvernement américain sur ce dossier.

Mais pour beaucoup d'entreprises, changer de prestataire coûterait trop cher

Nicolas Arpagian, directeur scientifique sur la sécurité numérique à l'Institut national des hautes études de la sécurité et de la justice (INHESJ), relativise : extrapoler de tels chiffres est selon lui "prématuré ". Pour lui, l'affaire Prism n'aura un impact que pour
un nombre limité d'entreprises. Car si celles interrogées dans le sondage ci-dessus sont très matures sur la question, ce n'est pas le cas de toutes. "**J e pense qu'elles sont aujourd'hui minoritaires à mettre la sécurité informatique comme élément prioritaire de leur stratégie ", explique-t-il. La plupart des entreprises se diraient encore "oh moi après tout je ne suis pas assez stratégique pour être espionnée ".

Et puis changer de prestataire coûte cher. Quand votre système de messagerie à l'international est mis en place, que tout fonctionne, "tous ces inconvenients, ces pesanteurs à lever pour changer de prestataire, cela tétanise " les entreprises. La menace informatique est trop "indolore ", car elle coûte mais ne rapporte rien. Alors les entreprises ne s'y mettent que lorsqu'elles subissent une attaque. "Alors que **  la protection de l'information est un des éléments stratégiques de leur avenir. C'est évident qu'il leur faut protéger leur patrimoine informationnel ", regrette le chercheur.

Un nouveau critère : la "nationalité" de son prestataire

En revanche, l'affaire Prism risque de changer le comportement des entreprises qui s'équipent pour la première fois, selon Nicolas Arpagian : "Elles peuvent  poser comme critère la nationalité de leur prestataire, une question qui n'entrait pas en ligne de compte jusqu'ici ". Sauf que, rappelle-t-il, une entreprise peut aussi changer de nationalité en fonction d'un éventuel rachat de son capital.... Par exemple une entreprise finlandaise peut devenir américaine du jour au lendemain et du coup être soumise elle aussi aux lois américaines.

Et ce que reconnaît en tout cas Nicolas Arpagian, directeur scientifique sur la sécurité numérique à l'INHESJ, c'est que les entreprises américaines sont actuellement dans une situation délicate. "I l leur faut communiquer et rassurer leurs clients en les assurant de leur fiabilité, mais elles ne peuvent pas se mettre en porte à faux vis-à-vis des autorités américaines qui attendent d'elles qu'elles appliquent la législation américain e", explique-t-il.
Seule issue : que le sujet sorte des écrans de l'actualité. Pas pour tout de suite semble-t-il, puisqu'on apprenait cette semaine qu'Edward Snowden avait encore remis 20.000 documents à un journaliste du Guardian basé au Brésil .

"On ne vit pas dans un monde de Bisounours"

Choisir une entreprise de cloud computing basée en Europe, pour éviter la loi américaine qui contraint les géants américains à coopérer avec les services de renseignement ? C'est ce que les dirigeants de ces entreprises auraient donc derrière la tête.

Sauf qu'"on ne vit pas dans un monde de Bisournous, au niveau
des stockages ou des communications, je pense que tous les gouvernements
depuis la fin de la Seconde guerre mondiale mettent énormément de moyens pour
essayer de surveiller et récupérer des informations ", analyse pour sa part François
Aubriot, directeur de la société Dotriver et membre du consortium français pour le développement d'un cloud national appelé Nu@age. "O u alors, s'interroge Olivier Caleff, un des représentant de la Cloud security alliance en France, on
considérerait que comme on est Européen, être surveillé par des Européens c'est moins grave ? "