Il y a quelques semaines, Amazon annonçait la vente d’une partie de son activité cloud en Chine à son partenaire local Beijing Sinnet Technology pour 301 millions de dollars. Cette annonce a provoqué de fortes réactions dans les médias américains mais surtout de nombreuses interrogations sur la nouvelle loi de cybersécurité dont la Chine vient de se doter.
Dans la lignée du règlement européen sur la protection des données (RGPD) et de ses tendances nationales, la Chine a décidé en 2016 de renforcer elle aussi la protection de son cyberespace et des données de ses citoyens. La ressemblance s’arrête ici. L’approche chinoise de la cybersécurité comprend, en effet, d’autres objectifs plus ou moins clairement affichés dans la loi entrée en vigueur le 1er juin 2017. Cette dernière devrait favoriser le développement d’une économie de l’information nationale et d’un réseau d’infrastructures sécurisé qui contribuerait, notamment, au programme chinois 2030 AI annoncé cet été. Un objectif certes ambitieux mais qui s’accompagne de préoccupations moins nobles, à savoir, un contrôle plus effectif d’internet dans ses frontières, dans le but de protéger les intérêts économiques, politiques et militaires du PCC et donc de la Chine.
Les grandes caractéristiques de la loi chinoise du 1er juin 2017
Les grandes particularités de cette loi sur la sécurité d’internet sont, d’abord, les deux sujets sur lesquels elle porte : « les administrateurs des réseaux d’informations » et « les administrateurs des infrastructures d’informations importantes ». Ces derniers ne sont pas définis de manière limitée et précise dans le texte. Toutefois, la Chine a publié une liste des domaines entrant dans la définition des infrastructures d’information, censée évoluer au fur et à mesure et qui comprend notamment le cloud et le big data. Deuxièmement, la loi ne fait pas de distinction entre les entités nationales et étrangères. Toute entreprise étrangère qui vend des biens ou services aux consommateurs chinois, opération considérée comme domestique par le gouvernement, est sujette à cette nouvelle loi.
Ces « administrateurs » sont donc soumis à de nouvelles obligations lorsqu’ils opèrent sur le marché chinois, principalement celle de stocker toutes les données à caractère personnel et les données importantes dans des serveurs sur le territoire chinois. La définition même des « données importantes » n’est pas précisée dans la loi ce qui offre une liberté d’interprétation aux autorités chinoises. Ces dernières sont dotées de moyens relativement puissants et peuvent par exemple exiger la suppression des informations dont la publication est interdite par le PCC, en interrompre l’accès, ou encore limiter la communication sur les réseaux pour des raisons de sécurité nationale ou d’ordre public.
Les conséquences concrètes pour les fournisseurs internationaux de services d’hébergement dans le cloud, tels qu’Amazon Web Services (AWS)
Outre les potentiels filtrages de sécurité (security screening) des données des consommateurs chinois, les infrastructures et plateformes d’hébergement étrangères doivent désormais être détenus par des fournisseurs chinois, seuls à même d’obtenir la licence nécessaire à leur exploitation (IDC VATS). Cette restriction impose aux fournisseurs étrangers de coopérer avec des compagnies chinoises afin de proposer leurs services – ce que la majorité d’entre eux faisaient déjà pour contourner la réglementation précédente. De facto, ils se voient relégués à un simple rôle de support au fournisseur local. Enfin, toutes les connexions entre ces plateformes et les réseaux étrangers doivent être approuvées par le MIIT (ministère de l’Industrie et des Technologies de l’Information chinois) qui exerce un contrôle sur les transferts de données transfrontaliers.
La nouvelle loi sur la cybersécurité a donc eu comme premier effet de contraindre les compagnies étrangères à des restructurations ou des migrations vers un partenaire local, sous risque de fermeture des services. Les fournisseurs chinois ont également été obligés de se restructurer afin d’être en conformité avec la législation qui les invite à superviser les utilisateurs de leurs services.
C’est d’ailleurs pour cette raison que AWS aurait vendu des parts de son service cloud à Sinnet. La transaction, d’un montant de 301 millions de dollars, a seulement porté sur des actifs physiques (hardware), d’après Amazon Web Services, qui a par ailleurs affirmé conserver toute la propriété intellectuelle sur son service cloud.
AWS, leader mondial du marché des infrastructures cloud avec près de 10 milliards de dollars de recettes en 2016, a développé un modèle de « plateforme-cloud unifiée » qui constitue un environnement totalement clos et sécurisé et qui s’étend à mesure que AWS s’étend géographiquement. La partie chinoise de ce service est, de plus, isolée du reste de la plateforme. Atout pour l’entrée et le développement d’AWS sur le marché chinois en 2014, elle est désormais soumise à un risque accru de transfert de technologie, dès lors qu’elle ne dispose plus de ses propres infrastructures physiques dans le pays et devient dépendante de ses partenaires locaux. Ces dernières évolutions n’ont cependant pas arrêté la progression du groupe américain qui a annoncé, lundi 11 décembre, l’ouverture d’une nouvelle région pour son service en Chine avec comme partenaire Ningxia Western Cloud Data Technology.
D’autres compagnies pourraient faire face au même dilemme qu’AWS, poussées à choisir entre une coûteuse mise en conformité ou la perte du marché chinois. On pense à Microsoft, Oracle et IBM qui possèdent des unités de stockages en Chine et subissent déjà la concurrence croissante d’Alibaba Group, lequel a ouvert une douzaine de centres de données depuis 2016.
La nouvelle régulation chinoise sur la cybersécurité semble donc être à la fois un outil puissant de contrôle et de protection des données et un moyen efficace de développer et protéger un marché local grandissant, en imposant l’utilisation de fournisseurs chinois aux entreprises étrangères. Il est aujourd’hui nécessaire pour les compagnies souhaitant entrer sur le marché chinois ou pour celles s’y étant déjà implantées d’auditer leur cybersécurité lorsqu’elles sont concernées par cette nouvelle réglementation. La mise en conformité est certes coûteuse, et la loi présente toujours beaucoup d’incertitudes et de dispositions floues, mais la perte du marché chinois peut l’être encore davantage. En parallèle, c’est également l’opportunité de se mettre en conformité avec la RGPD qui entrera en vigueur, en France, en mai 2018.
Par le club Cyber de l’AEGE
Guillaume Demonet, Hirotaka Kato et Choukri Omari