Inquiétude des Français concernant le cloud chinois d’Alibaba pour Paris 2024, Telecom News, ET Telecom
Paris : Le rôle du leader chinois du commerce électronique Alibaba Group en tant que « partenaire mondial » des Jeux Olympiques de Paris 2024 a déclenché une bataille en coulisses pour l’empêcher d’héberger et d’accéder à des données sensibles.
« Il y a un combat », avait déclaré plus tôt Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), avant d’ajouter que c’était « compliqué ».
« Nous nous battons et expliquons que pour des raisons de sécurité, y compris les données personnelles, ce n’est pas possible », a-t-il ajouté, refusant de donner plus de détails.
Alibaba, symbole de la réussite de la Chine dans l’économie numérique mais désormais dans le collimateur des autorités chinoises, est l’un des 13 « partenaires mondiaux » du CIO.
Le partenariat remonte aux Jeux olympiques d’hiver de PyeongChang en 2018. La perspective que l’entreprise héberge plusieurs applications critiques dans son cloud fait sourciller dans le monde secret de la sécurité informatique française, qui s’accroche à la souveraineté numérique comme standard.
Quel est le problème exactement?
Un exemple cité par des sources proches du dossier suggère que les coordonnées personnelles et de contact des dizaines de milliers de personnes accréditées pour les Jeux seront hébergées dans le cloud d’Alibaba.
Celles-ci incluraient des données provenant des autorités, telles que la police, qui sont difficiles à avaler pour le ministère français de l’Intérieur.
Mi-septembre, lors d’une table ronde organisée par le cercle européen de la sécurité des systèmes d’information, le coordinateur national de la sécurité des Jeux Olympiques et Paralympiques de 2024, Ziad Khoury, n’a pas approfondi le sujet mais a évoqué « des échanges dans les prochains jours ». « .
« C’est un sujet assez compliqué », a déclaré Khoury qui répond au ministre de l’Intérieur.
« Il va falloir approfondir très vite avec le monde olympique, pour voir un peu comment on peut fonctionner avec toutes les contraintes. »
Il n’y a pas eu un mot depuis. Rien sur ces « échanges », ni sur l’ampleur du « combat » dont parle l’Anssi un mois plus tard.
« Oui il y a un problème d’Alibaba », admet un conseiller ministériel, mais l’Etat rechigne à en dire plus.
Le ministère français du Numérique parle d’une réunion d’une délégation interministérielle avec les JO mais ne veut pas en parler pour le moment.
Le comité d’organisation de Paris 2024 (COJO) a indiqué à l’AFP que « concernant la collecte, le traitement et l’hébergement des données accréditées, les travaux sont toujours en cours et font l’objet de discussions spécifiques avec les autorités ».
– « Pression de l’État » – Alibaba héberge également les candidatures du comité d’organisation, y compris son site Web, bien que cela ne s’étende pas à la billetterie.
« La billetterie des Jeux, quant à elle, sera exploitée par un spécialiste européen qui a remporté l’appel d’offres public », a précisé le comité d’organisation.
Pour Alain Bouille, délégué général de Cesin, qui regroupe les responsables de la sécurité informatique, « les autorités sont plus obsédées par le nombre de cyber-attaques potentielles que par le mécénat d’Alibaba ».
Mais il n’a pas retenu l’avertissement et a comparé Alibaba aux cinq grands géants américains de la technologie Google, Apple, Facebook, Amazon et Microsoft, collectivement surnommés GAFAM.
« Avec les Américains et les GAFAM, on arrive à faire des choses mais avec les Chinois, il n’y a pas d’accord », a-t-il déclaré.
« Si nous donnons des données à Alibaba, nous savons que le gouvernement chinois peut y avoir accès. »
Le comité d’organisation insiste sur le fait que toutes les données seront protégées par le règlement général sur la protection des données (RGPD) de l’UE et que « toutes les données seront hébergées en Europe ».
Elle vient de nommer un délégué à la protection des données pour veiller au bon respect de cette réglementation, et se dit « intransigeante » sur le sujet.
Mais cela suffira-t-il ?
« Le RGPD ne garantit pas la souveraineté des données », a déclaré Bouille.
Un expert a suggéré que le groupe français Atos, également sponsor du CIO, « peut fournir des outils », une idée soutenue par Bouille.
« On peut imaginer que tout ce qui est stratégique pourrait être de la responsabilité d’Atos », a-t-il déclaré.
Ce sujet délicat avec toutes ses ramifications géopolitiques n’est pas encore réglé. L’Agence française de protection des données a déclaré à l’AFP qu’elle n’était pas encore impliquée.
Alibaba a refusé de commenter les questions de l’AFP.
Pour le moment, il semble que les organisateurs de Paris 2024 aient les mains liées.
« C’est très compliqué pour un comité d’organisation de licencier un partenaire du CIO », a déclaré à la mi-septembre le directeur adjoint de la sécurité du comité, Thomas Collomb. « A moins qu’il n’y ait une très forte pression de l’Etat. »