EDF confie ses données de maintenance à Amazon, au risque d’une perte de souveraineté numérique

EDF, qui gère le parc de centrales nucléaires français, va confier une partie de ses données liées à la maintenance des infrastructures nucléaires au géant du cloud américain AWS, divison cloud d’Amazon. C’est ce que révèle le 13 février le Canard Enchaîné. La décision aurait été prise au printemps 2023, dans une relative discrétion, dans le cadre du déploiement d’une politique de numérisation des activités du groupe.

Contactée, l’entreprise publique française a refusé de répondre à nos questions, et indique qu’elle ne fera pas de “commentaires sur le contenu du contrat”. Mais d’ores et déjà, on peut s’interroger sur les implications d’une telle décision en matière de souveraineté numérique.

Moderniser les systèmes d’information pour faciliter la maintenance

Selon Le Canard Enchaîné, la signature de ce contrat vise à optimiser ce que l’on appelle la “maintenance prédictive” des réacteurs nucléaires français. En résumé, il s’agit de numériser et sauvegarder les références des pièces utilisées dans les centrales, dans le but de gérer de façon plus optimale le stock de pièces nécessaires à leur maintenance.
Un enjeu crucial donc, alors que les problématiques de maintenance sont plus importantes que jamais pour EDF. Avec la prolongation de la durée de vie de certains réacteurs, autorisée par l’Autorité de Sûreté Nucléaire, et les opérations du grand carrénage en cours sur des centrales vieillissantes, EDF va devoir gérer des opérations de maintenance régulières. D’où l’importance de disposer de systèmes informatiques capables d’optimiser la gestion des flux de pièces.

C’est pour “moderniser une partie de son système d’information dit de gestion” qu’EDF a choisi AWS, division de l’entreprise américaine Amazon spécialisée dans la gestion des données et du cloud. Selon le Canard Enchaîné, certains cadres d’EDF se seraient publiquement interrogés sur la pertinence d’un tel choix en matière de souveraineté numérique : “AWS comme partenaire ? Y a pas un problème de cybersécurité, là ? D’espionnage industriel ? Je trouve que cela n’est pas prudent !” aurait ainsi déclaré un cadre sur LinkedIn.

L’enjeu de la souveraineté numérique

Après les débats suscités par la vente en cours d’Atos, c’est donc une nouvelle controverse autour de la souveraineté française en matière numérique qui se dessine en creux. En effet, depuis l’entrée en vigueur de la réglementation FISA (Foreign Intelligence Surveillance Act) et du Cloud Act aux Etats-Unis, les entreprises américaines sont susceptibles de voir les données qu’elles gèrent réquisitionnées par les autorités fédérales.
Il est donc possible qu’une partie des données liées à la maintenance des centrales nucléaires françaises, première source de production électrique du pays, soient accessibles à un gouvernement étranger. Ces données sont-elles sensibles ?
Si l’entreprise a précisé à Novethic que “les systèmes informatiques de pilotage d’une centrale nucléaire (contrôle commande, surveillance de la salle des commandes, surveillance de la radioactivité, etc.) sont indépendants” des systèmes de données confiées à AWS, il est difficile d’y voir clair.

La France est pourtant particulièrement attentive aux enjeux de souveraineté numérique. Elle a ainsi mis en place de nouvelles règles qui imposent à ses administrations de recourir au maximum à des gestionnaires de données français ou européens. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), a élaboré un référentiel, “SecNumCloud” qui cadre les règles de sécurité en matière d’information et de gestion de données.

Mais ces règles ne s’appliquent pas aux entreprises, même lorsqu’elles sont, comme EDF, publiques. Au niveau européen, les négociations sur l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) sont marquées par la question de la souveraineté numérique, et plusieurs acteurs du cloud du continent appellent les régulateurs européens à définir des standards élevés sur le sujet.

La controverse autour d’EDF rappelle l’urgence de cette normalisation, à l’heure où une part de plus en plus importante de l’économie passe désormais par le numérique, et plus encore avec l’arrivée de l’intelligence artificielle. Un secteur où les acteurs américains ont le quasi-monopole et où l’Europe est en retard.

Photo : La Centrale Nucléaire de Chooz, d’EDF