La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

ANNEXE 1

L'EXEMPLE DES RECOMMANDATIONS DE CYBERSÉCURITÉ DU RÉSEAU DES CCI

SEPTEMBRE 2020

1) À destination des dirigeants de TPE :

1. Rendre la thématique cyber et ses enjeux accessibles et intelligibles aux TPE

2. Activer le levier de la cyberassurance pour faire entrer les TPE dans une prise de conscience

3. Guider les dirigeants de TPE par des rencontres « one-to-one » (avec des conseillers CCI par exemple)

4. Concevoir et proposer des diagnostics TPE de cyberrésilience et des tests d'intrusion (en lien avec l'ANSSI et la Gendarmerie nationale)

5. S'appuyer sur les écosystèmes locaux d'échanges entre entreprises (type Plato) pour accompagner les TPE dans la sensibilisation et la protection des systèmes d'information et des interconnections

2) À destination des PME/ETI :

1. Inciter les entreprises à pratiquer des tests d'intrusion, des diagnostics et des crash-tests pour devenir résilients face au risque cyber (tout comme on réalise des tests de sécurité incendie)

2. Organiser une prise en main de la problématique cyber par palier : prise de conscience (coaching) pour le dirigeant, entraînement (training) pour l'adjoint direct en charge du risque cyber (DRH, DAF, etc.) et formation pour les salariés de l'entreprise selon la taille de celle-ci

3. Activer le levier de la certification et de l'audit pour faire entrer les PME dans un degré de conscience cyber plus élevé

4. Inciter les entreprises à réviser leurs contrats d'assurance pour y inclure le risque cyber ou en vérifier la clause (soutenir la démarche de l'Autorité de contrôle prudentiel et de résolution - ACPR) dans sa proposition de clarification de la position des compagnies d'assurance et de redescendre tous leurs contrats sur des bases de couverture du risque cyber)

5. Faire une large campagne sur la mise à niveau des standards (obligations réglementaires) et des outils (mises à jour logicielles et configuration) de cybersécurité ; les normes et certifications peuvent être obligatoires mais donnent surtout accès à des marchés pour la plupart des ETI

6. Faciliter la mise en réseau des RSSI pour les PME par la conclusion de partenariats de mutualisation des ressources et d'informations afin de pallier la pénurie de talents : la lutte contre des cybermenaces sophistiquées nécessite, d'abord et avant tout, des processus matures et des professionnels de la sécurité efficaces et dédiés 24h/24, 7j/7

7. Mutualiser les expériences d'entreprises en matière de cyberrésilience et changer la culture du secret qui entoure l'attaque cyber (qu'elle ait ou non aboutie)

8. Fédérer des écosystèmes d'échange d'expérience à l'échelle industrielle (sur le modèle du Cluster Security Valley)

Source : « Pérenniser l'entreprise face au risque cyber - De la cybersécurité à la cyberrésilience »,
CCI France, septembre 2020

ANNEXE 2

L'AVIS SUR « LES RISQUES POTENTIELS DE SANCTIONS POUR FACILITER LES PAIEMENTS DE RANÇONGICIEL » DU DÉPARTEMENT DU TRÉSOR DES ÉTATS-UNIS ^{284 ( * )}

1 ^ER OCTOBRE 2020

L'Office of Foreign Assets Control (OFAC) du Département américain du Trésor publie cet avis pour mettre en évidence les risques de sanctions associés aux paiements de rançongiciel liés aux activités malveillantes activées par le cyberespace. La demande de paiements de rançongiciel a augmenté pendant la pandémie de COVID-19, car les cyberacteurs ciblent les systèmes en ligne sur lesquels les Américains comptent pour continuer à faire des affaires. Les entreprises qui facilitent les paiements de rançongiciel aux cyberacteurs au nom des victimes, y compris les institutions financières, les sociétés de cyber-assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, encouragent non seulement les futures demandes de paiement de rançongiciel, mais peuvent également risquer de violer les réglementations de l'OFAC. Cet avis décrit ces risques de sanctions et fournit des informations pour contacter les agences gouvernementales américaines compétentes, y compris l'OFAC, s'il y a une raison de croire que le cyber-acteur exigeant le paiement d'un rançongiciel peut être sanctionné ou avoir un lien de sanctions.

Contexte des attaques de rançongiciel

Le rançongiciel est une forme de logiciel malveillant (« malware ») conçu pour bloquer l'accès à un système informatique ou à des données, souvent en chiffrant des données ou des programmes sur des systèmes informatiques pour extorquer des paiements de rançon aux victimes en échange du déchiffrement des informations et restaurer l'accès des victimes à leurs systèmes ou données. Dans certains cas, en plus de l'attaque, les cyberacteurs menacent de divulguer publiquement les fichiers sensibles des victimes. Les cyberacteurs exigent alors un paiement de rançongiciel, généralement via une monnaie numérique, en échange d'une clé pour décrypter les fichiers et restaurer l'accès des victimes aux systèmes ou aux données. Ces dernières années, les attaques de rançongiciel sont devenues plus ciblées, sophistiquées, coûteuses et nombreuses. Selon les rapports sur la criminalité Internet 2018 et 2019 du Federal Bureau of Investigation, il y a eu une augmentation annuelle de 37% des cas de rançongiciel signalés et une augmentation annuelle de 147% des pertes associées de 2018 à 2019. Alors que les attaques de rançongiciel sont menées contre de grandes entreprises, de nombreux rançongiciel les attaques ciblent également les petites et moyennes entreprises, agences gouvernementales locales, hôpitaux et districts scolaires, qui peuvent être plus vulnérables car ils peuvent avoir moins de ressources pour investir dans la cybersécurité (...).

Les paiements de rançongiciel avec un lien de sanctions menacent les intérêts de sécurité nationale des États-Unis

Faciliter un paiement de rançongiciel qui est exigé à la suite d'activités cybernétiques malveillantes peut permettre aux criminels et aux adversaires ayant un lien de sanctions de profiter et de faire progresser leurs objectifs illicites. Par exemple, les paiements de rançongiciel versés à des personnes sanctionnées ou à des juridictions sanctionnées de manière globale pourraient être utilisés pour financer des activités contraires aux objectifs de sécurité nationale et de politique étrangère des États-Unis. Les paiements de rançongiciel peuvent également encourager les cyberacteurs à se livrer à de futures attaques. De plus, payer une rançon aux cyber-acteurs ne garantit pas que la victime retrouvera l'accès à ses données volées.

Faciliter les paiements de ransomware pour le compte d'une victime peut enfreindre les règlements de l'OFAC

Sous l'autorité de l'International Emergency Economic Powers Act (IEEPA) ou du Trading with the Enemy Act (TWEA), les ressortissants américains sont généralement interdits de s'engager dans des transactions, directement ou indirectement , avec des individus ou entités (« personnes ») figurant sur la liste des ressortissants spécialement désignés et des personnes bloquées (liste SDN) de l'OFAC, d'autres personnes bloquées et celles couvertes par des embargos de pays ou de région (par exemple, Cuba, la région de Crimée en Ukraine, Iran, Corée du Nord et Syrie). De plus, toute transaction qui entraîne une violation de l'IEEEPA, y compris les transactions par une personne non américaine qui amène une personne américaine à violer les sanctions fondées sur l'IEEEPA, est également interdite. Il est également généralement interdit aux personnes américaines, où qu'elles se trouvent, de faciliter les actions de personnes non américaines, qui ne pourraient pas être effectuées directement par des personnes américaines en raison de la réglementation des sanctions américaines. L'OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou avait des raisons de savoir qu'elle s'engageait dans une transaction avec une personne qui est interdite en vertu les lois et règlements relatifs aux sanctions administrés par l'OFAC.

Les Directives d'application des sanctions économiques de l'OFAC (Directives d'application) fournissent plus d'informations sur l'application par l'OFAC des sanctions économiques américaines, y compris les facteurs que l'OFAC prend généralement en compte pour déterminer une réponse appropriée à une violation apparente. En vertu des Directives d'application, en cas de violation apparente des lois ou réglementations américaines sur les sanctions, l'existence, la nature et l'adéquation d'un programme de conformité aux sanctions est un facteur que l'OFAC peut prendre en compte pour déterminer une réponse d'application appropriée (y compris le montant des sanctions civiles, sanction pécuniaire, le cas échéant).

De manière générale, l'OFAC encourage les institutions financières et autres entreprises à mettre en oeuvre un programme de conformité basé sur les risques pour atténuer l'exposition aux violations liées aux sanctions. Cela s'applique également aux entreprises qui interagissent avec des victimes d'attaques de rançongiciel, telles que celles impliquées dans la fourniture de services informatiques, d'assurance, criminalistique numérique et réponse aux incidents, et services financiers pouvant impliquer le traitement des paiements de rançon (y compris les institutions de dépôt et les services monétaires). En particulier, les programmes de conformité aux sanctions de ces entreprises devraient tenir compte du risque qu'un paiement de rançongiciel puisse impliquer un SDN ou une personne bloquée, ou une juridiction totalement sous embargo. Les entreprises impliquées dans la facilitation des paiements de rançongiciel au nom des victimes devraient également se demander si elles ont des obligations réglementaires en vertu des règlements du Financial Crimes Enforcement Network (FinCEN).

En vertu des directives d'application de l'OFAC, l'OFAC considérera également le rapport complet d'une entreprise sur une attaque de rançongiciel à l'intention des forces de l'ordre comme un facteur atténuant important pour déterminer un résultat d'application approprié si la situation est ultérieurement déterminée à avoir un lien de sanctions. L'OFAC considérera également la coopération complète et opportune d'une entreprise avec les forces de l'ordre pendant et après une attaque de rançongiciel comme un facteur atténuant important lors de l'évaluation d'un éventuel résultat d'application de la loi.

Politique de licence de l'OFAC

Les paiements de rançongiciel profitent aux acteurs illicites et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis. Pour cette raison, les demandes de licence impliquant des paiements de rançongiciel exigés à la suite d'activités malveillantes activées par le cyberespace seront examinées par l'OFAC au cas par cas avec une présomption de refus.

Les victimes d'attaques par rançongiciel doivent contacter les agences gouvernementales compétentes

L'OFAC encourage les victimes et les personnes impliquées dans la lutte contre les attaques de rançongiciel à contacter immédiatement l'OFAC si elles estiment qu'une demande de paiement par rançongiciel peut impliquer un risque de sanctions. Les victimes doivent également contacter le Bureau de la cybersécurité et de la protection des infrastructures critiques du Département du Trésor des États-Unis si une attaque implique une institution financière américaine ou risque de perturber considérablement la capacité d'une entreprise à fournir des services financiers critiques.

ANNEXE 3

LA RÉSOLUTION EUROPÉENNE DU SÉNAT SUR LA LUTTE CONTRE LA CYBERCRIMINALITÉ DU 14 AOÛT 2020

Extraits

(...) Le cyberespace est dépourvu de frontières, ce qui constitue un défi pour les autorités répressives et judiciaires en matière d'enquêtes et de poursuites pénales, comportant un risque élevé d'impunité ; considère par conséquent que les cybercrimes doivent être traités dans le cadre de la coopération judiciaire en matière pénale, avec l'appui du réseau judiciaire européen en matière de cybercriminalité ;

(...) La lutte contre la cybercriminalité exige une coopération internationale efficace permettant de promouvoir la sécurité et la stabilité du cyberespace ; considère que l'amélioration de cette coopération requiert la ratification de la convention de Budapest par l'ensemble des États membres de l'Union européenne et la conclusion dans les meilleurs délais des négociations sur le deuxième protocole additionnel à cette convention ; souhaite le renforcement de la coopération entre l'Union européenne et le Conseil de l'Europe dans la lutte contre la cybercriminalité, dans le respect de leur mandat respectif ;(...) L'Union européenne doit s'organiser pour poursuivre plus efficacement les cybercriminels ; constate que la territorialité de la loi pénale constitue encore trop souvent un obstacle aux poursuites, en particulier lorsque les cybercrimes impliquent plusieurs États membres ; demande par conséquent la conduite d'une réflexion approfondie sur les voies et moyens d'une extension du champ de compétences du Parquet européen à la lutte contre la cybercriminalité ; est conscient qu'une telle évolution ne pourra intervenir, le cas échéant, que si plusieurs conditions sont réunies, en particulier l'unanimité au Conseil européen, le respect du principe de subsidiarité et le fonctionnement probant du Parquet européen dans son champ initial de compétences ; estime en effet que la centralisation au Parquet européen du traitement des affaires transfrontalières de cybercriminalité permettrait une plus grande intégration du fonctionnement de l'Union européenne face à des menaces grandissantes.

ANNEXE 4

L'ÉCOSYSTÈME DU CYBERCRIME

« Cybercrime : plongée dans l'écosystème », Gérôme Billois, Marwan Lahoud, Blog de l'Institut Montaigne, 15 mars 2021.

Toute attaque nécessite un premier accès au système d'information de la cible. Concrètement, l'objectif du cybercriminel est d'avoir le contrôle d'au moins un ordinateur connecté au réseau de l'organisation. Pour répondre à ce besoin, des groupes spécialisés dans la découverte et la revente d'accès aux réseaux d'organisations publiques ou privées ont fait leur apparition sur les marchés clandestins. La vente s'effectue généralement via un service tiers (forum en ligne ou sur le dark web ) afin d'éviter tout contact direct entre les criminels et les revendeurs d'accès.

Ces revendeurs réalisent des campagnes d'hameçonnage (des courriels frauduleux) ou des scans massifs des réseaux, pour trouver des failles dans les sites web ou les systèmes d'accès distants. Une fois les vulnérabilités identifiées, ils s'introduisent dans les machines ciblées pour mettre en place des accès à distance qui pourront être utilisés dans la durée. Ces accès sont ensuite revendus au plus offrant.

Il est courant de retrouver sur le marché noir des accès datant de six mois et pour des prix allant de quelques centaines à plus de 150,000 dollars. Le montant varie en fonction de la qualité des accès. Il sera élevé si les accès permettent de s'infiltrer sur les réseaux les plus critiques au sein d'organisations susceptibles de payer des rançons élevées ou de dérober des données particulièrement sensibles et confidentielles.

Pour conduire les attaques, les cybercriminels ont ensuite besoin de serveurs - anonymes et protégés - pour héberger leurs outils d'attaques et masquer leurs traces, notamment si des autorités sont sur leur piste. Pour répondre à ce besoin, il existe de nombreux hébergeurs peu regardant sur les activités de leurs clients, appelés " bulletproof hosting services ". On peut en distinguer deux catégories : ceux qui possèdent et opèrent leurs propres infrastructures physiques, et ceux qui détournent et revendent des offres de fournisseurs classiques, tout en camouflant les activités de leurs clients finaux, les cybercriminels.

Des groupes spécialisés dans la découverte et la revente d'accès aux réseaux d'organisations publiques ou privées ont fait leur apparition sur les marchés clandestins. Un rapide tour d'horizon des dernières attaques par ransomware montre l'augmentation massive du recours à des plateformes de Ransomware-as-a-Service . Ces cartels du cybercrime fournissent à leurs affiliés des outils d'attaque ainsi que divers services (de négociation, de récupération des paiements...). Ils garantissent trois choses : que ces outils ne seront pas détectés par les mécanismes de protection standards ; que le chiffrement des données sera efficace ; et que les victimes pourront, après paiement de la rançon, retrouver leurs données. Ils assurent également un support technique. Pour arriver à ce niveau de service, les plateformes disposent d'effectifs dédiés. Le groupe REvil mentionne par exemple une équipe de 10 développeurs.

Contre ces outils et services " de qualité ", les plateformes cybercriminelles prélèvent une partie des montants rançonnés en guise de paiement. Les rémunérations prélevées par ces plateformes sont variables : 20 % pour Netwalker et jusqu'à 70 % pour d'autres groupes.

L'externalisation d'une partie des cyberattaques a permis à des cybercriminels moins expérimentés de mener des attaques plus complexes et ambitieuses et de démultiplier les gains pour les plateformes. Ainsi, la conduite de l'attaque est prise en charge par une équipe de cybercriminels affiliés, tout en étant fortement assistée par le cartel de Ransomware-as-a-Service .

Lorsqu'un cybercriminel devient affilié à une telle plateforme, sa tâche est facilitée. Il ne s'occupe pas de développer un rançongiciel et une interface permettant de piloter l'attaque, ni de gérer la négociation et la collecte de la rançon. Toutefois, ces affiliés sont chargés de l'intrusion - via les accès achetés précédemment -, du vol de données permettant de faciliter la négociation et du déploiement du ransomware .

Les relations sur ce type de plateforme sont avant tout fondées sur la confiance entre le vendeur (la plateforme) et l'acheteur (le cybercriminel qui va conduire l'attaque). Les cybercriminels affiliés doivent d'abord faire leurs preuves sur des attaques basiques, avant de gagner la confiance nécessaire pour mener des opérations plus ambitieuses.

Une fois la cyberattaque menée à bien, les cybercriminels ont en leur possession une rançon payée en cryptomonnaies, la plupart du temps en Bitcoins. Même s'il existe des cryptomonnaies plus confidentielles, comme Monero, la popularité du Bitcoin en fait un choix privilégié encore aujourd'hui. Dans un premier temps, les cybercriminels doivent s'assurer que la rançon n'est pas tracée pour remonter jusqu'à eux. Pour cela, ils font appel à des Bitcoins mixers, qui permettent de mélanger les Bitcoins de la rançon avec des Bitcoins " propres ". Ces derniers appartiennent à des personnes faisant appel à ces mêmes plateformes pour conserver leur anonymat lors de transactions en Bitcoins. La cyberattaque menée à bien, les cybercriminels ont en leur possession une rançon payée en cryptomonnaies.

Enfin, les cybercriminels doivent trouver un moyen pour blanchir l'argent et le retrouver physiquement dans leur porte-monnaie. Pour ce faire, ils font par exemple appel à des groupes spécialisés dans le blanchiment ayant recours à des passeurs d'argent, ou " money mules ", pour sortir l'argent du pays et le transformer en espèces. Pour recruter les passeurs, les cybercriminels abusent de la confiance de personnes relativement naïves à travers des arnaques, telles que des fausses offres d'emploi, ou encore en faisant du chantage. D'après le spécialiste en cybersécurité Brian Krebs, le coût du blanchiment est estimé à 50 % des profits générés et la plupart du temps externalisés.

ANNEXE 5

LE PREMIER ÉCHEC D'UN CLOUD PUBLIC SOUVERAIN FRANÇAIS 2010-2019

2009 - Constatant le développement spectaculaire du secteur, l'idée d'un cloud souverain germe au sein de l'État

Janvier 2010 - Première mention dans un discours public : « les Nord-Américains dominent ce marché, qui constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j'ose le dire, pour la souveraineté de nos pays », Discours du Premier ministre François Fillon sur le haut débit et de l'économie numérique, 18 janvier 2010, Vélizy.

2011 - Une ébauche de partenariat public-privé avec Orange, Thales et Dassault Systèmes voit le jour sous le nom de « Projet Andromède », avec pour objectif de combiner les expertises des trois entreprises en matière de télécommunications et de cybersécurité afin de donner naissance à un géant français à même de garantir l'indépendance et la souveraineté de l'industrie française. Le projet Andromède est inclus dans la première vague des investissements d'avenir, avec 135 millions d'euros d'investissements prévus.

Septembre 2012 - Suite à un désaccord entre Dassault Système et Orange deux entreprises voient le jour. D'un côté, Orange et Thalès lancent Cloudwatt . De l'autre, Dassault Systèmes est rejoint par SFR et Bull pour former Numergy . L'État devient actionnaire minoritaire à 33% dans les deux startup, grâce à deux investissements de 75 millions d'euros issus du Fonds national de Sécurité Numérique, géré par la CDC.

Octobre 2012 - L'État français mise donc sur une concurrence et une complémentarité vertueuse entre ses deux nouveaux champions, comme le rappelle Fleur Pellerin, ministre déléguée à l'Économie numérique, en octobre 2012 : « Le gouvernement a décidé de soutenir deux projets «cloud» de taille critique face à la concurrence nord-américaine. La volonté de l'État est de privilégier l'effet de levier plutôt que la concentration des efforts sur un seul projet. L'émulation ne peut apporter que des bénéfices ».

2013-2014 - Les deux jeunes pousses peinent à atteindre leurs objectifs . Elles sont issues d'entreprises non-spécialistes du cloud, elles ne bénéficient pas des économies d'échelle qu'aurait permises une mutualisation de leurs ressources, et elles développent toutes les deux des produits sur OpenStack, une infrastructure en licence libre qui ne leur confère qu'un avantage concurrentiel limité. De plus, Cloudwatt adopte un positionnement commercial ambigu, proposant des offres pour les utilisateurs individuels avant même le lancement de services pour les entreprises. Alors que le projet Andromède tablait originellement sur 597 millions d'euros de chiffre d'affaires en 2015, Cloudwatt ne franchit pas la barre des 2 millions en 2014. Numergy fait à peine mieux avec 6 millions d'euros. AWS engrangeait 4,6 milliards de dollars la même année.

Mars 2015 - Dans l'espoir de redresser la barre, Orange rachète les parts de Thalès et de la CDC pour devenir l'unique propriétaire de Cloudwatt. SFR emboîte le pas l'année suivante avec le rachat complet de Numergy. De son côté, l'État accepte l'échec de sa stratégie d'investissement direct, profitant de cette porte de sortie pour affirmer que des 150 millions d'euros initialement prévus à l'investissement, seule la moitié aurait été dépensée.

23 mars 2018 - Le directeur de l'activité data centers et cloud chez SFR Business, Eric Jacoty, explique dans une interview pour l'Usine Nouvelle, que Numergy ne faisait plus partie de la stratégie de cloud public de SFR.

Juillet 2019 - Par un simple email aux utilisateurs de ses services qu'Orange annonçait la fermeture de Cloudwatt, programmée pour janvier 2020.

Source : « Le cloud souverain est de retour : généalogie d'une ambition emblématique
de la souveraineté numérique en France », Siencespo.fr Pierre Noro 20 juillet 2020.

ANNEXE 6

LES ERREMENTS D'UNE STRATÉGIE PUBLIQUE DU CLOUD

Septembre 2013 - Le gouvernement présente les 34 plans de la Nouvelle France Industrielle. Ce programme, porté par le ministre de l'Économie, du Redressement productif et du Numérique, Arnaud Montebourg, doit permettre d'identifier les priorités de politique industrielle pour la France et les marchés mondiaux particulièrement porteurs. Le cloud computing figure parmi les 34 plans. Il fait l'objet d'une dizaine de mesures dont la feuille de route est validée en juin 2014.

18 juin 2015 - Le cloud est complètement absent de la Stratégie numérique du gouvernement présentée le 18 juin 2015 par le Premier ministre, Manuel Valls. La consultation nationale, pilotée par le Conseil national du numérique et prélable à l'élaboration de cette stratégie, mentionne le cloud essentiellement en traitant d'un usage personnel et individuel de la technologie.

Février 2015 - L'ANSSI lance le label « Secure Cloud » qui vise à évaluer les garanties de sécurité proposées par un prestataire, et, en juillet 2015, est mis à disposition un guide de bonnes pratiques sur l'utilisation du cloud par les collectivités territoriales.

Octobre 2015 - L'ANSSI évoque le cloud dans sa Stratégie nationale pour la sécurité du numérique seulement en référence aux travaux de certification de sécurité pour l'informatique en nuage, communs avec l'Allemagne.

Mai 2016 - Le programme « Nouvelle France Industrielle : construire l'industrie française du futur » , lancé le 18 avril 2015 et présenté en mai 2016, aborde le cloud sous l'entrée « Économie des données ». En ligne directe avec le plan cloud computing de 2013, les projets menés dans ce cadre sont toujours sous la direction de Thierry Breton et d'Octave Klaba, rejoints par Gérard Roucairol, président de Teratec.

Mai 2016 - L'étude prospective Technologies clés 2020 , conduite tous les cinq ans par la Direction générale des entreprises (DGE), cherche à déterminer les technologies stratégiques des cinq à dix années à venir. Le cloud est deux fois plus présent dans l'édition de 2015 que dans celle de 2011.

2017 - Aucune mention du cloud dans la Revue stratégique de défense et de sécurité nationale .

Févier 2018 - La Revue stratégique de cyberdéfense consacre au cloud une section entière et pointe les dangers pour la souveraineté nationale. S'il était question en 2010-2014 de « renforcer » la souveraineté nationale, ce sont désormais les menaces portées à la souveraineté qui sont mises en exergue.

8 novembre 2018 - Le cabinet du Premier ministre adresse à tous les services étatiques une circulaire présentant la doctrine d'utilisation de l'informatique en nuage de l'État. Le cloud y est présenté comme une « évolution structurelle » des systèmes d'information (SI) qui « permet des gains importants d'efficacité ». Dans les représentations, il devient alors un composant essentiel de la transformation numérique de l'État. Le déploiement d'une solution hybride, qui mêle cloud privé et cloud public, est imaginé. Cette première stratégie française cohérente en matière de cloud computing ne compte que trois pages . Contrairement au projet Andromède, il s'agit cette fois, en structurant et réunissant les besoins de l'État en matière d'informatique en nuage, de construire la demande et non plus l'offre .

Février 2019 - Dans son discours d'inauguration du 8 ^e datacenter d'Equinix, Bruno Le Maire, ministre de l'Économie et des Finances, évoque le besoin de protéger les données du CLOUD Act et le concept de « cloud de confiance » fait son apparition. Baptisé ensuite « cloud national stratégique » il pourra faire l'objet d'un partenariat franco-allemand. OVHcloud et Outscale, filiale de Dassault Systèmes, sont mandatées pour formuler des propositions dans ce sens avant la fin 2019.

Octobre 2019 - Le rapport du Sénat sur la souveraineté numérique d'octobre 2019 explique que le cloud de confiance permettra de « proposer aux entreprises ainsi qu'à la puissance publique des offres diversifiées, performantes et sécurisées ». Il y est précisé que, « contrairement au projet de “cloud souverain” [...], l'initiative vise, dans un marché qui a aujourd'hui atteint une bonne maturité, à s'appuyer sur des fournisseurs et des offres déjà exposés au marché ».

4 juin 2020 - L'État français rejoint l'initiative allemande Gaia-X dessinée en octobre 2019 et abandonne l'idée de créer “ex-nihilo” une nouvelle entreprise soutenue par la puissance publique et des grandes entreprises, pour se tourner vers la formation d'une infrastructure européenne articulée autour d'un organisme de gouvernance et de coordination chargé d'émettre des standards de sécurité, d'interopérabilité et de portabilité des données. Gaia-X concrétise une lente transformation de la stratégie nationale de cloud souverain en promouvant un écosystème reposant sur de nombreuses entreprises capables de proposer des offres complémentaires et interopérables pour répondre aux besoins effectifs des entreprises et de la sphère publique

Source : D'après « Le cloud computing : de l'objet technique à l'enjeu géopolitique. Le cas de la France » Clotilde Bômont, Amaël Cattaruzza, Hérodote 2020/2-3 (N° 177-178).