Cyberattaques contre les datacenters AWS au Bahreïn : souveraineté numérique, hébergement des données publiques et vulnérabilité des infrastructures cloud dans un contexte de conflit au Moyen-Orient
La crise au Moyen-Orient, marquée par la fermeture du détroit d'Ormuz et les frappes israélo-américaines sur des infrastructures iraniennes, a pris une dimension numérique préoccupante avec des attaques visant les datacenters d'Amazon Web Services (AWS) situés au Bahreïn. Cette région d'hébergement (me-south-1), l'une des rares zones cloud de grande capacité au Moyen-Orient, accueille des données d'entreprises et d'administrations de nombreux États du Golfe et au-delà. L'incident pose avec acuité la question de la dépendance des États, y compris européens, aux infrastructures d'hébergement situées dans des zones géopolitiquement instables et contrôlées par des opérateurs extra-européens.
La souveraineté numérique à l'épreuve de l'externalisation cloud
La notion de souveraineté numérique renvoie à la capacité d'un État à maîtriser les données, les infrastructures et les technologies numériques essentielles à son fonctionnement. En France, la doctrine « cloud au centre », formalisée par la circulaire du Premier ministre n° 6282-SG du 5 juillet 2021, impose aux administrations de recourir au cloud pour tout nouveau projet numérique, en privilégiant des offres qualifiées SecNumCloud par l'ANSSI. Cette qualification, définie par un référentiel mis à jour en 2022 (SecNumCloud 3.2), exige notamment que les données soient hébergées sur le territoire de l'Union européenne et que l'opérateur soit immunisé contre l'application de législations extraterritoriales, en particulier le Cloud Act américain de 2018 (Clarifying Lawful Overseas Use of Data Act), qui permet aux autorités américaines d'exiger l'accès aux données détenues par des entreprises de droit américain, quel que soit le lieu de stockage.
L'attaque contre les datacenters du Bahreïn illustre un double risque : celui de l'atteinte physique aux infrastructures en zone de conflit, et celui de la dépendance juridique à des opérateurs soumis à des législations étrangères. Pour les administrations françaises, le recours à AWS, Microsoft Azure ou Google Cloud sans qualification SecNumCloud expose les données publiques à des risques tant matériels que juridiques.
Le cadre juridique de la protection des données et l'hébergement extra-européen
Le règlement général sur la protection des données (RGPD, règlement UE 2016/679) encadre strictement les transferts de données à caractère personnel vers des pays tiers. Son article 44 pose le principe selon lequel un transfert ne peut avoir lieu que si le pays destinataire assure un niveau de protection adéquat. Le Bahreïn ne fait pas l'objet d'une décision d'adéquation de la Commission européenne. Tout transfert vers cette zone repose donc sur des garanties appropriées (article 46), telles que les clauses contractuelles types, dont la solidité a été mise en doute par la Cour de justice de l'Union européenne dans son arrêt Schrems II (CJUE, 16 juillet 2020, Data Protection Commissioner c. Facebook Ireland, C-311/18). Dans cet arrêt, la Cour a invalidé le Privacy Shield et rappelé que les clauses contractuelles types ne suffisent pas si la législation du pays tiers permet un accès disproportionné des autorités publiques aux données.
L'extension de ce raisonnement aux infrastructures cloud situées dans des zones de conflit renforce l'argument en faveur d'un hébergement sur le territoire européen, sous le contrôle d'opérateurs non soumis à des législations extraterritoriales.
La dimension stratégique : les infrastructures numériques comme cibles militaires
Le droit international humanitaire, notamment le Protocole additionnel I aux Conventions de Genève de 1977 (articles 48 et 52), distingue les objectifs militaires des biens civils. Les datacenters, en tant qu'infrastructures à usage principalement civil, bénéficient en principe de la protection contre les attaques. Toutefois, la qualification d'objectif militaire dépend de la contribution effective du bien à l'action militaire et de l'avantage militaire concret attendu de sa destruction (article 52, paragraphe 2). L'utilisation croissante du cloud par les forces armées et les services de renseignement brouille cette distinction.
En droit français, la loi de programmation militaire 2024-2030 (loi n° 2023-703 du 1er août 2023) renforce le cadre de la cyberdéfense et identifie la résilience des infrastructures numériques critiques comme un objectif stratégique. L'ANSSI, autorité nationale en matière de sécurité des systèmes d'information (créée par le décret n° 2009-834 du 7 juillet 2009), est chargée de la protection des opérateurs d'importance vitale (OIV) et des opérateurs de services essentiels (OSE), catégories dans lesquelles les hébergeurs cloud de grande envergure peuvent être inclus.
Au niveau européen, la directive NIS 2 (directive UE 2022/2555 du 14 décembre 2022), dont la transposition en droit français est en cours, élargit le périmètre des entités soumises à des obligations de cybersécurité et inclut explicitement les fournisseurs de services d'informatique en nuage parmi les entités essentielles.
Vers une autonomie stratégique numérique européenne
L'incident au Bahreïn relance le débat sur l'autonomie stratégique numérique européenne. Le projet GAIA-X, lancé en 2019 par la France et l'Allemagne, vise à créer un écosystème cloud européen fondé sur des principes de transparence, de portabilité et de souveraineté. Sa mise en œuvre reste cependant lente et controversée, du fait de la participation d'acteurs extra-européens.
Le Conseil constitutionnel français, dans sa décision n° 2018-765 DC du 12 juin 2018 relative à la loi sur la protection des données personnelles, a consacré le droit à la protection des données personnelles comme composante du droit au respect de la vie privée garanti par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789. Cette constitutionnalisation renforce l'exigence de maîtrise publique sur les conditions d'hébergement des données.
La Cour européenne des droits de l'homme a également développé une jurisprudence protectrice, considérant que la conservation et l'accès aux données par les autorités publiques relèvent de l'article 8 de la Convention (CEDH, Big Brother Watch c. Royaume-Uni, 25 mai 2021), ce qui impose des garanties renforcées lorsque les données sont stockées dans des juridictions aux standards de protection inférieurs.
Enjeux pour les concours
Le candidat doit retenir que la souveraineté numérique constitue un enjeu transversal, mobilisant le droit des données personnelles (RGPD, articles 44 à 49 ; CJUE, Schrems II, 2020), le droit constitutionnel (Conseil constitutionnel, décision n° 2018-765 DC), le droit européen de la cybersécurité (directive NIS 2) et le droit international humanitaire (Protocole additionnel I, article 52). La doctrine « cloud au centre » et la qualification SecNumCloud illustrent la traduction administrative de ces exigences juridiques. L'attaque contre les infrastructures AWS au Bahreïn démontre que la localisation géographique des données n'est pas qu'une question technique mais bien un enjeu de sécurité nationale et de continuité du service public. Les notions clés à maîtriser sont : l'extraterritorialité du Cloud Act, le régime des transferts internationaux de données sous le RGPD, la distinction entre biens civils et objectifs militaires en droit international humanitaire, et le rôle de l'ANSSI dans la protection des infrastructures critiques.