Lois extraterritoriales : les DSI face au risque de coupures cloud

Les récentes sanctions décidées par les États-Unis contre des membres de la Cour pénale internationale (CPI) illustrent la réalité d’un risque longtemps jugé théorique : la suspension brutale d’accès aux services numériques fournis par des géants américains du cloud. Deux juges, dont le Français Nicolas Guillou, ainsi que deux procureurs adjoints, ont été visés le 20 août par Washington. Leur faute ? Avoir conduit ou soutenu des enquêtes touchant des militaires américains en Afghanistan ou, plus récemment, émis des mandats d’arrêt contre des responsables politiques israéliens.

Ces sanctions s’accompagnent d’un gel des avoirs aux États-Unis, d’une interdiction d’entrée sur le territoire, mais aussi d’une impossibilité d’accéder à des « fonds, biens ou services » américains. En pratique, cela inclut potentiellement les services cloud de Microsoft, Google ou AWS.

Quand un procureur perd sa messagerie

Le précédent n’est pas isolé. En février dernier, le procureur de la CPI Karim Khan avait perdu l’accès à sa messagerie Microsoft. Officiellement, l’éditeur nie être à l’origine directe de cette coupure, tout en refusant de préciser le mécanisme ayant conduit au basculement forcé de l’intéressé vers une solution alternative, Proton Mail. Ce flou alimente les inquiétudes des DSI européens sur leur exposition indirecte aux lois extraterritoriales américaines.

Une dépendance contractuelle sous-estimée

Cette vulnérabilité ne concerne pas uniquement les institutions internationales. Fin juillet, le géant indien de l’énergie Nayara Energy, partiellement contrôlé par le russe Rosneft, a vu Microsoft interrompre sans préavis ses services payants, invoquant les sanctions européennes contre Moscou. L’entreprise dénonce un « abus de pouvoir » et rappelle que les licences logicielles avaient été intégralement payées. Le litige est désormais porté devant les tribunaux indiens.

Un enjeu de souveraineté numérique

Pour les directions des systèmes d’information, ces exemples soulignent un double risque : la coupure de services critiques et la perte d’accès aux données elles-mêmes. Comme le rappelle un expert en cybersécurité, « utiliser le cloud, c’est utiliser l’ordinateur de quelqu’un d’autre ». Autrement dit, le client ne détient pas toujours la maîtrise effective de ses propres informations en cas de rupture de contrat ou de sanctions internationales.

Conseils pratiques pour renforcer la résilience cloud

• Analyser les contrats cloud : vérifier les clauses liées aux sanctions, à la réversibilité et aux modalités de résiliation.
• Prévoir une stratégie multi-cloud : éviter une dépendance excessive à un seul fournisseur, surtout lorsqu’il est soumis au droit extraterritorial américain.
• Mettre en place des sauvegardes hors cloud : disposer de copies régulières et exploitables localement, en dehors de l’infrastructure du fournisseur.
• Assurer la portabilité des données : tester régulièrement la capacité à migrer rapidement vers une autre plateforme ou un hébergement souverain.
• Impliquer la gouvernance : sensibiliser les directions générales et juridiques aux risques contractuels et aux implications géopolitiques.
• Élaborer un plan de continuité : prévoir des scénarios de coupure brutale et des solutions opérationnelles de repli pour les utilisateurs.

Ces mesures ne suppriment pas le risque, mais elles renforcent la capacité des organisations à absorber les chocs et à garantir la continuité de leurs opérations face à un environnement juridique et géopolitique de plus en plus instable.