La confiance a des limites. Après des mois de discussions, l’Etat français et les organisateurs des Jeux olympiques (JO) de Paris ont choisi de confier à la société Atos la gestion des données sensibles des Jeux, a appris l’Agence France-Presse (AFP) de sources concordantes. Dans un premier temps, ces données devaient être hébergées par le géant chinois du commerce en ligne, Alibaba, sponsor officiel du Comité international olympique (CIO). C’est finalement Atos qui s’en occupera pour le compte de son partenaire, celui-ci conservant la gestion directe des autres données.
Le dossier, assez complexe, a fait l’objet de réunions depuis près d’un an au plus haut sommet de l’Etat, notamment avec l’Autorité nationale en matière de sécurité et de défense des systèmes d’information (Anssi). Il était prévu qu’Alibaba, en tant que sponsor du CIO, abrite dans son cloud notamment le fichier des personnes accréditées pour les Jeux olympiques et paralympiques de Paris 2024.
« Risques d’exfiltration »
En découvrant que ce fichier, qui comprend des dizaines de milliers de coordonnées (invités, autorités publiques, médias…), relevait de cette entreprise, l’Etat français, en particulier le ministère de l’intérieur, avait été sérieusement tracassé, comme plusieurs sources l’avaient rapporté à l’AFP, questionnant le fait de laisser des données personnelles de policiers français dans un fichier hébergé par une société chinoise.
Cette crainte est reprise dans un rapport provisoire de la Cour des comptes sur la sécurité, remis cet été : le fichier des accrédités traitera « un important volume de données personnelles et de données étatiques. Ces données présentent un caractère particulièrement sensible incompatible avec un hébergement par Alibaba », écrit la Cour des comptes.
Elle évoque « des risques d’exfiltration des bases de données des systèmes d’information olympiques à des fins stratégiques ou d’espionnage économique, d’exploitation des interconnexions entre les systèmes d’information olympiques et ceux des services de l’Etat, voire de prépositionnement pour mener des actions ultérieures, ou encore de coupure du fonctionnement des infrastructures en cas de tensions internationales ». Conclusion : il faut « un arbitrage dans les plus brefs délais ».
En coulisses
De son côté, la société Alibaba, interrogée par l’AFP, a fait savoir qu’elle ne commentait ni les « rumeurs » ni les « spéculations ». Cette affaire à la fois sportive, diplomatique, technique et économique se passe largement en coulisses. En cours de route, la Commission nationale de l’informatique et des libertés (CNIL) a joué son rôle de conseil.
Alibaba va payer Atos pour ce rôle de « tiers de confiance » et la gestion de ces données sensibles, qui seront hébergées physiquement en France, a aussi appris l’AFP. Une source industrielle a précisé qu’Atos utiliserait son cloud consacré à ses contrats militaires et sécuritaires avec l’Etat. Quant aux données en transit jusqu’à cette infrastructure, elles seront chiffrées, par souci de sécurité.