Cloud souverain, Cloud de confiance, SecNumCloud… Les publications et posts des éditeurs et des fournisseurs Cloud font la part belle à la souveraineté numérique, française et/ou européenne, en unisson avec la classe politique. Sans aucun doute, il y a un vrai « buzz » autour du concept, ce qui amène aussi son lot de confusions, d’idées reçues et de questionnements.
Cloud souverain : qu’est-ce que c’est ?
Le terme désigne toute solution Cloud hébergée et exploitée dans les frontières légales d’un pays ou d’une union de pays, impliquant une régulation par les lois s’appliquant à la zone géographique.
Cloud de confiance : autre terme, même signification ?
Pas tout à fait, puisque le Cloud de confiance est un Cloud souverain spécifiquement qualifié SecNumCloud par l’ANSSI. Une solution « Logiciels et Cloud de confiance » garantit un niveau précis de sécurisation et plus généralement la conformité avec un cadre règlementaire strict.
SecNumCloud – juste une autre certification ?
Non, puisqu’il s’agit d’une qualification avec à la clé un visa de sécurité délivré par l’ANSSI et non d’une certification. Elle découle de la doctrine d’Etat « Cloud au centre » qui vise à créer un écosystème français et européen de solutions suivant des règles de sécurité « garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. D’une part, les prestataires proposant une offre d’informatique en nuage (cloud) doivent présenter une bonne hygiène informatique, d’autre part, les données doivent être protégées en conformité avec le droit européen. » (source : ANSSI)
Qu’est-ce qui est qualifié ?
Le processus de qualification s’applique uniquement au niveau des services et non à l’entreprise dans son ensemble. Les quatre activités traitées dans le référentiel sont la fourniture de service IaaS, PaaS, CaaS et SaaS. Mais, il est tout à fait possible pour un prestataire de proposer à ses clients des offres qualifiées en parallèle d’offres non-qualifiées.
Quels délais pour faire qualifier une offre ?
C’est un processus assez long, basé une méthodologie rigoureuse et faisant appel à un centre d’évaluation agréé par l’ANSSI. Il faut généralement compter près de 18 mois, si le processus se déroule sans encombre.
Qui doit souscrire à des offres qualifiées SecNumCloud ?
Le référentiel constitue un outil d’aide à la décision pour que toute organisation puisse évaluer le niveau de sécurisation requis pour les différents types de données (selon la criticité). Il n’y a pas de caractère obligatoire, sauf pour les administrations, les OIV et les OSE et plus généralement pour certaines données sensibles. La priorité aujourd’hui est à la constitution d’un écosystème englobant fournisseurs de Cloud (XaaS) et éditeurs, afin que les clients aient le choix des acteurs à qui confier leurs données.
N’étant pas un acteur public, ni un OIV/OSE, puis-je souscrire à ces offres ?
Oui, absolument, il est possible d’ accéder à des solutions dont le niveau de sécurité est garanti, offrant ainsi une Cyberprotection optimale. On peut également s’attendre à une standardisation de l’exigence SecNumCloud, c’est-à-dire que le caractère obligatoire soit étendu à d’autres acteurs du privé et/ou leurs données sensibles.
Les GAFAM peuvent-ils être qualifiés SecNumCloud ?
Les offres des Hyperscalers et autres éditeurs extra-communautaires ne peuvent pas être qualifiées. En revanche, plusieurs Joint-ventures se sont créées, pilotées par des acteurs industriels français et s’appuyant sur des briques technologiques d’Hyperscalers. Devant se conformer aux exigences du référentiel SecNumCloud, ces offres ne sont pas équivalentes aux solutions de Cloud public des GAFAM.
Alors, c’est fini pour le Cloud public en France et en Europe ?
Pas du tout ! Le Cloud public reste un vecteur essentiel de la transformation numérique et de l’innovation pour les organisations. Il est en revanche primordial pour les clients d’avoir le choix de ne pas s’orienter vers des solutions américaines ou plus généralement extra-communautaires pour leurs données les plus sensibles. Dans un contexte de Cybermenaces omniprésentes, à la fois par des opérateurs privés et des opérateurs d’Etat, opter pour une solution qualifiée SecNumCloud correspond à faire un choix éclairé pour bénéficier de la meilleure protection des données.
Va-t-on vers un standard européen ?
Idéalement oui, mais c’est loin d’être gagné. L’ANSSI a mis la barre très haute avec SecNumCloud et milite pour que l’équivalent européen EUCS (European Union Cybersecurity Certification Scheme) s’en inspire largement. Plusieurs autres États membres s’y opposent, estimant que le référentiel SecNumCloud est trop restrictif et peut contribuer à rendre les entreprises européennes moins compétitives. L’EUCS dans son état actuel ne tient pas compte de la protection des données stockées contre l’accès par des puissances étrangères.
Par GABRIEL Jan chez ITS Integra
