SecNumCloud : cloud souverain ou cloud de confiance ?
Les termes « cloud de confiance » et « cloud souverain » ont depuis ces dernières années inondés le discours politique et commercial, notamment au niveau européen.
Certains fournisseurs cloud évoquent un « cloud de confiance » alors même qu’il demeure pour l’instant aucune définition juridique de ces termes et qu’une seule certification permet aujourd’hui de l’attester : la certification « SecNumCloud ».
- « SecNumCloud » : un label « made in ANSSI » attestant de la sécurisation des données
Le visa de sécurité de l’ANSSI est issu d’un groupe collaboratif suite à la promulgation de la loi de programmation militaire de 2013. Depuis 2016, l’ANSSI propose ce « label » référençant les entreprises conformes à un cloud de « confiance ».
L’ANSSI a élaboré une certification attestant d’un niveau de sécurité très poussé s’agissant des données hébergées sur un Cloud. L’objectif est clair : faire du visa de sécurité SecNumCloud un indispensable pour évoluer sur le marché français des données sensibles.
Malgré tout, l’obtention du visa délivré par l’ANSSI demande un effort d’investissement humain et financier particulièrement important. Toutes les entreprises ne peuvent pas dès aujourd’hui prétendre à obtenir ce label.
En effet, il existe aujourd’hui 7 entreprises disposant de ce label, et la majorité sont de grosses entreprises telles que : OVHcloud ou Whaller. Certaines entreprises sont aussi en cours d’évaluation telles que S3NS (co-entreprise de Thales et Google) ou Bleu (Orange et Capgemini) qui en souhaitent l’obtention à l’horizon 2025.
Quelles types d’entreprises peuvent candidater à l’obtention de ce label tant convoité ?
Il s’agit des entreprises de type SaaS, PaaS, IaaS et CaaS. Il y a une forte demande des entreprises à obtenir ce visa de sécurité. Les entreprises qui cherchent à se labelliser le font dans un intérêt commercial mais aussi dans un intérêt de confiance qui deviendra bientôt une norme.
Les clients de ces entreprises sont pour la plupart des entités publiques. Il est donc primordial que ces entités puissent externaliser l’hébergement de leurs données dans des entreprises dîtes de confiance.
On retrouve ainsi les OSE (opérateurs de services essentiels) et les OIV dont leur identité est couverte par le secret de la défense nationale.
Quel est le niveau d’exigence de SecNumCloud 3.2 ?
SecNumCloud a une approche pluridisciplinaire. Ses exigences en la matière portent tout autant sur l’aspect technique, opérationnel que sur la sécurité juridique.
En effet, l’Europe tend à diffuser largement les espoirs d’un cloud de confiance et encore plus d’un cloud souverain dont les données ne seraient aspirées par les États-Unis en particulier. Malgré tout, les politiques de protection des données demeurent moins protectrices pour les pays hors Union européenne. L’Europe impose donc aux prestataires européens de sous-traiter à des sociétés hors UE uniquement si lesdites sociétés promettent de ne pas avoir un droit de regard sur ces données protégées.
Cette exigence, théorique doit être confrontée avec la réalité du « terrain ».
A titre d’exemple, la CNIL a autorisé la création d’un entrepôt de données de santé (EMC2) qui sera hébergé par Microsoft Azure pour une durée de 3 ans. Il y a effectivement des garanties contractuelles qui n’autorisent pas Microsoft à accéder à ces données.
Excepté peut être les profanes, la majorité des professionnelles du domaine de la protection des données ne sont pas dupes. Microsoft aura toujours la possibilité d’y avoir un accès.
L’entreprise d’Orange et Capgemini, « Bleu » aura donc pour objectif et défi de remédier à cette problématique en proposant les services de Microsoft dans un environnement qualifié.
Malgré tout, la qualification « SecNumCloud » demeure un gage de professionnalisme et de confiance au vu du processus long et exigeant nécessaire à l’obtention du visa de sécurité. D’autant plus qu’une entreprise peut perdre sa certification. Chacune des entreprises certifiées font l’objet de nombreux tests d’intrusions et d’audits annuels de surveillance que l’entreprise doit réussir.
- L’avenir de la certification « SecNumCloud »
La certification « SecNumCloud » pourrait bien redéfinir les horizons dans le secteur du Cloud. C’est notamment ce qu’affirme Scaleway Cloud » (entreprise française fournisseur de cloud du groupe Iliad) : « il y a des parts de marché à redistribuer ».
Des entreprises européennes collaborent avec des entreprises américaines pour améliorer non pas la technicité de leur service qui est reconnu mais la partie éthique en agissant sur la sécurisation des données.
Le CEO de Scaleway explicite la plus-value que pourrait ajouter la certification de l’ANSSI : « Une grande entreprise qui veut choisir un cloud souverain ne peut pas mettre dans un appel d’offre qu’elle cherche un prestataire français (…) ce n’est pas compatible avec le code du commerce international ».
L’avenir de la certification reste néanmoins fonction de la position de l’ANSSI.
Le dilemme est tout sauf évident, admettre ou ne pas admettre les collaborations franco-américaines de devenir certifié « SecNumCloud ».
Guillaume Poupard, ancien DG de l’ANSSI estimait qu’élaborer un cloud de confiance était déjà contraignant et d’élever le niveau à un cloud souverain était pour l’heure non envisageable au vu de la puissance des entreprises américaines du Cloud.
Le discours porté fièrement par l’Europe d’un cloud souverain s’effiloche peu à peu. L’objectif est davantage tourné vers des solutions hybrides en faisant le compromis d’un idéal qui apparaît trop ambitieux pour les entreprises européennes.
L’Europe mise davantage sur l’espoir d’un cloud de confiance européen.
D’autant plus que la loi SREN du 21 mai 2024 a entrepris une interdiction de laisser à des autorités publiques d’États tiers non autorisées un accès aux données relevant à l’accomplissement des missions essentielles de l’État, protection de la santé et de la vie des personnes ou encore le maintien de l’ordre public.
La position de l’Europe est donc extrêmement déterminante pour la certification française. Surtout quand on sait que l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) a fait table rase des exigences les plus hautes en matière de cloud en Europe.
Ainsi, la vision presque individualiste d’un cloud « high level » en France risque d’entrer en collision avec l’approche déphasée que l’Europe à décidé d’entreprendre.
Un renforcement des contraintes de conformité qui mettrait en péril un avantage concurrentiel durement acquis par les entreprises françaises.
Théo BARTZEN
Étudiant Master 2 Droit de l’économie numérique
Sources :
- https://pro.orange.fr/lemag/qu-est-ce-que-le-secnumcloud-CNT000002cRQsK.html
- https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
- https://www.ovhcloud.com/fr/compliance/secnumcloud/
