La dangereuse géographie du cloud

Source: JDA
Il y a 3 heures
Visites: 119
Tweeter

Les frappes iraniennes contre des centres de données dans le Golfe ont révélé une vulnérabilité que beaucoup préféraient ignorer. L’infrastructure qui sous-tend l’IA, le cloud computing et plusieurs autres secteurs ne constitue pas seulement un actif cyber ou commercial, mais également une cible alléchante.

Le régime iranien en a fait la démonstration le 1^er mars, lorsque ses drones Shahed ont frappé deux centres de données d’Amazon Web Services (AWS) aux Émirats arabes unis, et endommagé une troisième installation à Bahreïn, perturbant ainsi les services bancaires, les paiements et les applications grand public. Le Corps des gardiens de la révolution islamique iranien a par la suite publié une liste de 29 cibles supplémentaires, auxquelles il entendait s’attaquer dans le Golfe, parmi lesquelles des actifs régionaux appartenant à des hyperscalers américains tels que Google, Microsoft, Oracle, Nvidia, IBM et Palantir, dont certains services d’IA ont été utilisés par le département américain de la Défense contre l’Iran et le Venezuela.

C’est la première fois qu’un État cible de manière organisée l’infrastructure de centres de données commerciaux. L’Europe, en particulier, ferait bien de songer aux hypothèses qui sous-tendent les investissements et les déploiements en matière d’infrastructure numérique, dans la mesure où les frappes de drones iraniens contre des centres de données au Moyen-Orient présentent des implications pour sa propre sécurité économique.

Pour le comprendre, il convient premièrement d’observer comment les déploiements d’infrastructures de cloud computing et de calcul en réseau ont d’ores et déjà évolué. Par le passé, le cloud computing reposait en grande partie sur des hubs centralisés à grande échelle, souvent situés en dehors de l’environnement immédiat de l’utilisateur ; à titre d’illustration, un fabricant ou un intermédiaire financier européen acheminait ses charges de travail vers les centres de données AWS basés dans le nord de l’État de Virginie. Aujourd’hui, ces infrastructures sont physiquement rapprochées de l’utilisateur ainsi que des entreprises, des services publics, des systèmes industriels et des appareils individuels qui en dépendent – c’est ce que le secteur appelle l’« edge computing ». Une récente étude européenne révèle que le nombre de nœuds périphériques au sein de l’UE est passé de 498 en 2022 à 1 836 en 2024, et que 75 % des entreprises européennes devraient intégrer des solutions cloud-edge dans leurs activités d’ici 2030.

Cette localisation illustre deux tendances qui se renforcent mutuellement, dont la première réside dans l’expansion rapide des applications d’IA reposant sur une forte intensité de calcul et de traitement des données en temps réel. Un grand nombre de ces applications – telles que les systèmes de perception et de contrôle des véhicules autonomes ou les algorithmes de trading à haute fréquence – ne tolèrent aucun retard. Des décalages même très légers étant susceptibles de nuire aux performances, à la précision ou à la qualité du service, ces systèmes dépendent d’un traitement à faible latence, à proximité du lieu où sont générées et utilisées les données.

La deuxième tendance réside dans une pression croissante en faveur de la localisation des données, de la protection de la vie privée, ainsi que de la conformité réglementaire. Cette pression est particulièrement forte en Europe, en raison du Règlement général sur la protection des données (RGPD) et de la loi de l’UE sur l’intelligence artificielle (AI Act). Des architectures cloud auparavant mondialisées se fragmentent aujourd’hui en déploiements liés à des juridictions spécifiques. Ces déploiement sont tenus d’opérer dans les limites légales, et disposent chacun de leurs propres piles de calcul, de stockage et de traitement.

Or, en l’état actuel des choses, l’infrastructure de données distribuée et structurée en couches qui sous-tend les fonctions critiques de l’Europe – dans les domaines des communications, de la finance, de la santé, de la logistique et des opérations industrielles – constitue un désavantage. À titre d’exemple, une grande entreprise de télécommunications, exploitant une infrastructure cloud-edge souveraine dans plusieurs États membres, ne peut rediriger les charges de travail entre les juridictions avec la même liberté et la même rapidité que les grands hyperscalers (principalement basés aux États-Unis). Ses données réseau – journaux de trafic, métadonnées des abonnés et enregistrements d’interconnexion – sont soumises au RGPD, à la législation nationale sur les télécommunications, ainsi qu’aux règles de l’UE en matière de sécurité et de résilience des réseaux et des systèmes d’information.

Lorsque des systèmes d’IA sont déployés sur des réseaux, ils doivent se conformer aux exigences de gouvernance de l’AI Act, ce qui signifie que des contraintes spécifiques à chaque juridiction verrouillent l’architecture sous-jacente. Ces systèmes sont par ailleurs généralement déployés sous forme d’instances distinctes, plutôt que comme un tout intégré à l’échelle mondiale. Il est par conséquent plus difficile pour les opérateurs européens de mettre en œuvre le type de réacheminement dynamique qu’un hyperscaler pourrait exécuter en réponse à une panne d’installation ou à une perturbation physique.

Cette limitation s’avère d’autant plus problématique que la géographie du cloud est aujourd’hui devenue un risque géopolitique. Les frappes contre les centres de données du Golfe démontrent que l’exposition physique doit être prise en compte non seulement dans les décisions d’implantation, mais également et plus largement dans les stratégies de résilience, les modèles de redondance et les cadres réglementaires. Pour les entreprises européennes, le nouveau processus d’évaluation des risques pourrait débuter par l’identification des vulnérabilités physiques de la pile technologique – y compris des infrastructures tierces et cloud – ainsi que par des tests de résistance visant à déterminer si les redondances qui existent sur le papier fonctionnent réellement comme prévu lors de perturbations physiques.

Contrairement aux États-Unis, l’Europe ne dispose pas d’hyperscalers dominants à préserver, ni de l’appareil de sécurité unique nécessaire pour les protéger, ni d’une structure de commandement unifiée capable d’étendre une protection gouvernementale à des instances d’infrastructure numérique fragmentées et liées à chaque nation. Il est pour autant nécessaire que l’UE commence à considérer l’infrastructure numérique comme une question de sécurité, plutôt que comme une simple préoccupation réglementaire. Un système nationalement cloisonné étant en effet susceptible de constituer un point de défaillance unique, même s’il respecte toutes les exigences réglementaires, l’Europe doit de toute urgence combler le fossé entre la manière dont l’infrastructure numérique critique est gouvernée et la façon dont elle est déployée.

Les dirigeants politiques doivent commencer par admettre les risques de concentration inhérents à des déploiements localement confinés et dépourvus de solution de secours. Cela signifie également travailler en collaboration avec le secteur privé pour tester la résilience des redondances transfrontalières, investir dans des mécanismes de coordination transfrontalière face aux incidents, capables de fonctionner en situation de crise, et durcir les normes minimales de résilience à l’échelle de l’UE pour tenir compte de la concentration physique et de l’exposition géographique.

Peut-être le régime iranien a-t-il frappé des centres de données dans le Golfe pour faire grimper les coûts de la coopération technologique entre les États-Unis et les pays de la zone, pour déstabiliser les marchés financiers ancrés aux États-Unis, ou pour impacter l’infrastructure d’IA qui sous-tend de plus en plus la puissance militaire américaine. Ce serait une grave erreur pour l’Europe que de considérer ces tactiques comme le problème de quelqu’un d’autre. La guerre a d’ores et déjà fondamentalement changé la donne pour quiconque dépend des infrastructures numériques. Le renforcement de la pile technologique européenne doit commencer dès maintenant.

Par Sona Muzikarova