Comment le canton de Zurich a estimé le risque de passer sur le cloud de Microsoft

Le 11 mars dernier, le Centre du droit de l’entreprise de l’Université de Lausanne (CEDIDAC) organisait un colloque sur la question hautement actuelle de la protection des données dans le cloud. Les intervenants ont largement abordé les critères que les entreprises doivent considérer à l’heure de migrer leurs données dans des clouds publics. Avec des considérations sur le type de données (qu’est-ce qu’une donnée personnelle au regard de la loi?), sur les règlementations générales et particulières applicables (RGPD, LPD, dispositions sectorielles, secret de fonction), sur les techniques de protection (pseudonymisation, anonymisation, chiffrement & gestion des clés), mais aussi sur l’origine des fournisseurs avec en ligne de mire le Cloud Act américain.

Cette législation, qui exige des fournisseurs cloud US qu’ils transmettent les données qu’ils hébergent (y compris à l’étranger) si le gouvernement américain le leur demande, pose évidemment un problème majeur aux organisations suisses. Depuis l’invalidation du Safe Harbor puis du Privacy Shield, les entreprises n’ont d’autres choix que de recourir à des clauses contractuelles types offrant des garanties limitées. Une issue pourrait se dessiner suite à l’accord de principe entre l’UE et les Etats-Unis pour développer un nouveau bouclier.

Au-delà de ce cas particulier, le colloque du CEDIDAC a livré deux enseignements. Premièrement, les hyperscalers ont passablement adapté leurs clauses contractuelles pour coller aux exigences des législations européennes et suisses, mais, à moins d’être un géant, leurs contrats ne sont guère amendables - ils sont à prendre ou à laisser. Deuxièmement, dans la plupart des cas, la loi ne fournit pas une réponse claire quant à la légalité ou l’illégalité du cloud, de sorte que la question relève davantage de la gestion des risques et de sa démonstration.

Le canton de Zurich donne son feu vert à Microsoft 365 en mode cloud

C’est dans ce contexte compliqué que le gouvernement zurichois a pris fin mars la décision d’autoriser son administration à employer les services cloud de Microsoft 365. Publié la semaine dernière, l’argumentaire du canton est intéressant à plusieurs titres: d’abord parce qu’il s’agit d’une administration publique suisse, ensuite parce que le fournisseur est un hyperscaler américain soumis au Cloud Act, et enfin parce que l’exécutif zurichois s’appuie sur une méthode standardisée pour analyser ce risque spécifique d’accès aux données par des autorités étrangères.

Difficile de faire sans

Le gouvernement zurichois explique qu’il est difficile d’éluder la question du cloud compte tenu de la stratégie du canton de fournir une offre IT de base standardisée aux administrations, compte tenu aussi des atouts du mode cloud et de l’évolution de l’offre des fournisseurs IT: Microsoft Teams est seulement disponible dans le cloud, le support à moyen terme des variantes on premise des autres logiciels est menacé, et certaines solutions de sécurité ne sont disponibles que pour l’environnement cloud. Pour le gouvernement zurichois, renoncer à Microsoft 365 signifierait donc se mettre hors-jeu en matière technologique et par rapport aux entreprises privées et aux autres collectivités publiques. Ainsi, ne pas aller dans le cloud présente des risques en matière de numérisation et de collaboration, de pérennité et de sécurité, et d’attractivité comme employeur.

Risque équivalents aux solutions on premise

Le canton estime par ailleurs qu’en matière de dépendance à l’égard du fournisseur et de perte de contrôle, l’environnement cloud présente les mêmes risques que des logiciels on premise. Pour l'administration du canton, le Cloud Act change toutefois la donne en matière de protection des données: «En principe, les solutions cloud ne présentent pas de risques plus élevés pour la sécurité de l'information et la protection des données que les solutions sur site. Le profil de risque peut toutefois être différent. Alors que les objectifs de protection tels que la disponibilité peuvent en principe être mieux atteints dans le cloud, il existe un risque dans le domaine du "Lawful Access" lorsqu'il s'agit de solutions cloud d'entreprises étrangères.»

Calcul du risque lié au Cloud Act

Afin d'estimer ce risque que des autorités étrangères n’utilisent leur législation pour accéder aux données du canton hébergées dans le cloud, le gouvernement zurichois se base sur le contrat qu’il a conclu avec Microsoft (y compris un avenant convenu avec la Préposée zurichoise à la protection des données) et les informations partagées par Microsoft, qui souligne notamment n’avoir jamais divulgué de données de clients européens dans le secteur public.

Sur cette base, le canton a recouru à une méthode de calcul développée par l’avocat David Rosenthal. Employée par des établissements financiers dont la Banque cantonale de Zurich, cette méthode permet de déterminer de manière structurée la probabilité d’un accès légal réussi par une autorité étrangère dans le cadre d’un projet cloud. Publiée depuis 2020 sous une licence libre, elle est disponible sur le site de l’International Association of Privacy Professionals.

Le canton a appliqué la méthode d’évaluation aux différents logiciels et services cloud de Microsoft 365 (suite Office, Teams, Exchange, OneDrive, etc.). Le calcul tient compte de mesures techniques spécifiques (chiffrement supplémentaire pour Exchange avec clé détenue par le canton sur sa propre infrastructure), de l’intérêt des autorités étrangères pour certaines données, et des conditions juridiques leur permettant d'exiger un accès. L’évaluation a été effectuée pour deux catégories de données présentant un risque différent. Sachant que les données les plus sensibles sont uniquement traitées avec des logiciels on premise et que le chiffrement est imposé lors de leur envoi par e-mail.

Pour calculer le risque, le canton a réuni des experts juridiques et techniques (Office de l'informatique, Ministère public, Office cantonal des impôts, Chancellerie d'État, police cantonale) et s’est appuyé sur divers chiffres et statistiques, notamment les demandes d’accès refusées par les autorités américaines.

Au final, le calcul des risques indique que, durant une période de cinq ans, la probabilité qu’une autorité étrangère parvienne à accéder aux données les plus sensibles du canton est de 0,74%. Formulé différemment, l’analyse conclut qu’il faut 1552 ans pour que - statistiquement parlant - un accès illicite réussi se produise au moins une fois avec une probabilité de 90%. Pour les données standard moins protégées, il faut 1206 ans. Le canton en conclut qu’il est hautement improbable que les autorités américaines parviennent par l’intermédiaire de Microsoft à accéder aux données du canton stockées dans le cloud.

Méthode standardisée et nomination d’un responsable sécurité cloud

Au-delà de l’évaluation de Microsoft 365, le canton a décidé de faire de la méthode de calcul de David Rosenthal une étape standard pour l’évaluation du risque cloud. A l'avenir, si la probabilité d’occurrence de 90% d’un accès non autorisé réussi est supérieure à 100 ans, l'administration pourra utiliser le cloud. Si cette probabilité est atteinte avant 100 ans, les entités de l’administration cantonale devront passer par le Conseil d’État pour obtenir l’autorisation d’employer la solution cloud.

En marge de sa décision d’autoriser Microsoft 365, le gouvernement zurichois a également décidé de créer un nouveau poste de responsable de la sécurité cloud, chargé notamment «des processus visant à garantir la conformité du cloud», avec la conduite d’audits, le suivi de l’évolution du risque et l’élaboration de mesures pour le minimiser.