Donald Trump a signé le 19 janvier un décret pour « contrecarrer l’utilisation étrangère de produits cloud pour réaliser des cyber-opérations malveillantes contre les Etats-Unis » rapporte l’agence Reuters. Les opérateurs de services Iaas américains, des Gafam pour la plupart, devront vérifier l’identité des clients étrangers… et garder des dossiers.
Le décret donne au ministère américain du commerce le pouvoir d’écrire des règles pour interdire des transactions avec des étrangers utilisant des produits ou services cloud pour réaliser des cyber-attaques. L’annonce, qui aurait été dans les cartons depuis deux ans, est officialisée suite à la cyberattaque massive qui a visé en décembre SolarWinds, une importante société américaine de lutte contre la cybercriminalité.
« Ce que nous avons vu dans cet espace, c’est que… un individu va louer des milliers de pièces de cette infrastructure à l’intérieur des États-Unis et les revendre à des acteurs qui en abusent ensuite« , a déclaré à Reuters un haut responsable de l’administration. « Cela donne au secrétaire au commerce la possibilité de dire… ‘Il n’y a aucune raison pour que vous continuiez à avoir accès aux produits de la nation« , a ajouté la personne, notant que les restrictions pourraient s’appliquer aux juridictions ainsi qu’aux personnes et aux entreprises.
Vérifier l’identité des étrangers des services Iaas américains et conserver des dossiers
L’ordonnance ratifié par Donald Trump impose au ministère américain du commerce de rédiger dans les six mois des règles pour les fournisseurs américains d’Infrastructure as a Service (Iaas) afin de vérifier l’identité des étrangers avec lesquels ils font des affaires et de conserver certains dossiers. S’il est validé par le nouveau président américain, le texte pourrait donnerait au gouvernement américain le droit d’interdire l’utilisation de services dans le Cloud à des étrangers soupçonnés de les utiliser pour des cyber-attaques. Il pourrait également s’appliquer à des juridictions entières, et non pas seulement à des individus et des organisations.
Les Gafam américains à nouveau déstabilisés
Une annonce qui déstabilise les stratégies commerciales des Gafam américains leaders du cloud, dont Amazon Web Services, Microsoft et Google. D’autant que l’invalidation en juillet 2020 par la Cour de justice de l’Union européenne du Privacy Shield empêche désormais le transfert des données européennes aux Etats-Unis, ce qui avait déjà complexifié la vente de leurs services Cloud en dehors des Etats-Unis. La renégociation d’un nouvel accord entre l’UE et les Etats-Unis pourrait prendre des mois si la nouvelle administration Biden s’implique dans le dossier. Mais la confiance prendra beaucoup plus de temps à être restaurée entre les deux camps…
