Par Gabriel
Jan chez ITS Integra.
SecNumCloud : tout
comprendre sur le Cloud de confiance
Cloud souverain, Cloud
de confiance, SecNumCloud… Les publications et posts des éditeurs et des
fournisseurs Cloud font la part belle à la souveraineté numérique, française
et/ou européenne, en unisson avec la classe politique. Sans aucun doute, il y a
un vrai « buzz » autour du concept, ce qui amène aussi son lot de confusions,
d’idées reçues et de questionnements.
Cloud souverain :
qu’est-ce que c’est ?
Le terme désigne toute
solution Cloud hébergée et exploitée dans les frontières légales d’un pays ou
d’une union de pays, impliquant une régulation par les lois s’appliquant à la
zone géographique.
Cloud de
confiance : autre terme, même signification ?
Pas tout à fait,
puisque le Cloud de confiance est un Cloud souverain spécifiquement qualifié
SecNumCloud par l’ANSSI. Une solution « Logiciels et Cloud de
confiance » garantit un niveau précis de sécurisation et plus généralement
la conformité avec un cadre règlementaire strict.
SecNumCloud – juste une
autre certification ?
Non, puisqu’il s’agit
d’une qualification avec à la clé un visa de sécurité délivré par l’ANSSI et
non d’une certification. Elle découle de la doctrine d’Etat « Cloud au
centre » qui vise à créer un écosystème français et européen de solutions
suivant des règles de sécurité « garantissant un haut niveau
d’exigence tant du point de vue technique, qu’opérationnel ou juridique. D’une
part, les prestataires proposant une offre d’informatique en nuage (cloud)
doivent présenter une bonne hygiène informatique, d’autre part, les données
doivent être protégées en conformité avec le droit européen. » (Source : ANSSI)
Qu’est-ce qui est
qualifié ?
Le processus de
qualification s’applique uniquement au niveau des services et non à
l’entreprise dans son ensemble. Les quatre activités traitées dans le
référentiel sont la fourniture de service IaaS, PaaS, CaaS et
SaaS. Mais, il est tout à fait possible pour un prestataire de
proposer à ses clients des offres qualifiées en parallèle d’offres
non-qualifiées.
Quels délais pour faire
qualifier une offre ?
C’est un processus
assez long, basé une méthodologie rigoureuse et faisant appel à un centre
d’évaluation agréé par l’ANSSI. Il faut généralement compter près de 18 mois,
si le processus se déroule sans encombre.
Qui doit souscrire à
des offres qualifiées SecNumCloud ?
Le référentiel
constitue un outil d’aide à la décision pour que toute organisation puisse
évaluer le niveau de sécurisation requis pour les différents types de données
(selon la criticité). Il n’y a pas de caractère obligatoire, sauf pour les
administrations, les OIV et les OSE et plus généralement pour certaines données
sensibles. La priorité aujourd’hui est à la constitution d’un écosystème
englobant fournisseurs de Cloud (XaaS) et éditeurs, afin que les clients aient
le choix des acteurs à qui confier leurs données.
N’étant pas un acteur
public, ni un OIV/OSE, puis-je souscrire à ces offres ?
Oui, absolument, il est
possible d’accéder à des solutions dont le niveau de sécurité est garanti,
offrant ainsi une Cyberprotection optimale. On peut également s’attendre à une
standardisation de l’exigence SecNumCloud, c’est-à-dire que le caractère
obligatoire soit étendu à d’autres acteurs du privé et/ou leurs données
sensibles.
Les GAFAM peuvent-ils
être qualifiés SecNumCloud ?
Les offres des
Hyperscalers et autres éditeurs extra-communautaires ne peuvent pas être
qualifiées. En revanche, plusieurs Joint-ventures se sont créées, pilotées par
des acteurs industriels français et s’appuyant sur des briques technologiques
d’Hyperscalers. Devant se conformer aux exigences du référentiel SecNumCloud,
ces offres ne sont pas équivalentes aux solutions de Cloud public des GAFAM.
Alors, c’est fini pour
le Cloud public en France et en Europe ?
Pas du tout ! Le Cloud
public reste un vecteur essentiel de la transformation numérique et de
l’innovation pour les organisations. Il est en revanche primordial pour les
clients d’avoir le choix de ne pas s’orienter vers des solutions américaines ou
plus généralement extra-communautaires pour leurs données les plus sensibles.
Dans un contexte de Cybermenaces omniprésentes, à la fois par des opérateurs
privés et des opérateurs d’Etat, opter pour une solution qualifiée SecNumCloud
correspond à faire un choix éclairé pour bénéficier de la meilleure protection
des données.
Va-t-on vers un
standard européen ?
Idéalement oui, mais c’est loin d’être gagné. L’ANSSI a mis la barre très haute avec SecNumCloud et milite pour que l’équivalent européen EUCS (European Union Cybersecurity Certification Scheme) s’en inspire largement. Plusieurs autres États membres s’y opposent, estimant que le référentiel SecNumCloud est trop restrictif et peut contribuer à rendre les entreprises européennes moins compétitives. L’EUCS dans son état actuel ne tient pas compte de la protection des données stockées contre l’accès par des puissances étrangères.