Des précisions sur le Cloud souverain et SecNumCloud

Le 12 septembre dernier, OVHcloud inaugurait son nouveau datacenter de Strasbourg, 18 mois après la destruction de son ancien site dans un incendie.

À cette occasion, le ministre de l’Économie Bruno Le Maire et le ministre délégué au Numérique Jean-Noël Barrot sont revenus sur la doctrine gouvernementale du « cloud au centre ». Celle-ci vise à encourager les entreprises à avoir systématiquement recours au stockage en ligne, jugé plus sûr.

Le cloud de confiance ou cloud souverain et la qualification SecNumCloud

Pour cela, il faut bien sûr pouvoir repérer, dans la jungle des offres, les hébergeurs vraiment sûrs. C’est tout l’intérêt de la qualification SecNumCloud, basée sur la norme ISO 27001. Ce label délivré par l’Agence nationale de la sécurité des systèmes informatiques (ANSSI) garantit un niveau de protection des données élevé. Il est crucial pour les entreprises traitant de données sensibles, comme les professionnels de santé.

Néanmoins, comme l’a souligné Bruno Le Maire, l’Europe souffre d’un retard certain en la matière. Le marché du cloud est aujourd’hui trusté par les géants américains, Microsoft Azure, Amazon Web Services (AWS) ou encore Google Cloud Platform. Leaders sur le marché français, ces entreprises occupent 69 % du marché européen .

Or, cela pose un réel problème de confiance. Ces entreprises et les données qu’elles abritent sont en effet soumises à la loi américaine. Et ce, même en Europe.

 

Encourager les hébergeurs locaux

Pour favoriser l’émergence d’hébergeurs locaux qualifiés SecNumCloud, le gouvernement s’est engagé à instaurer un dispositif « d’accompagnement à la qualification ». Il sera doté d’un budget de 2,5 millions d’euros. Il vise à aider les PME pouvant participer à « la modernisation et à la résilience des entreprises et des administrations » grâce à leurs services PaaS et SaaS.

Pour l’instant, il existe encore peu d’offres qualifiées SecNumCloud. Obtenir cette qualification est en effet un travail de longue haleine. « La qualification est un processus long et exigeant. Certains acteurs nous ont fait part de cette complexité », a reconnu Jean-Noël Barrot. Il n’a cependant pas précisé les modalités du futur accompagnement à la qualification.

Les données « particulièrement sensibles »

À Strasbourg, les représentants du gouvernement ont également tenu à revenir sur la notion de « données particulièrement sensibles ». Ils ont annoncé la publication prochaine d’une circulaire ministérielle sur ce sujet. Car les institutions qui gèrent et stockent des données sensibles sont au cœur de la politique du cloud au centre. Le gouvernement souhaite vivement les inciter à se tourner vers des hébergeurs qualifiés.

Pour cela, il faut savoir évaluer l’importance des données en question. La notion de données sensibles est définie par la circulaire du 5 juillet 2021. Il s’agit « des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État ».

Les administrations, amplement concernées par ce sujet, peuvent s’appuyer sur la Dinum (Direction interministérielle du numérique) pour opérer leur mutation vers le cloud souverain. Elles bénéficient, grâce au plan de relance, d’un guichet de financement pour ces projets. Sur ce plan, il n’y a donc pas de nouveauté.

Le comité stratégique de filière

Bruno Le Maire a par contre annoncé la création d’une nouvelle instance, un Comité stratégique pour la filière « numérique de confiance ».

Ce CSF vise à faciliter les échanges et la coopération avec l’État des acteurs de la filière, afin de permettre l’émergence d’une « offre française compétitive dans les prochaines années ».La mise en place du CSF a été confiée au directeur général d’OVHcloud, Michel Paulin.

Une certification européenne

Le ministre de l’Économie a également fait part de son désir de voir adopter un schéma européen de certification du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS), actuellement en cours de négociation. Ce système devrait prévoir trois niveaux de certification. Un niveau élémentaire, un niveau substantiel et un niveau élevé pour les solutions exposées ou sensibles.

Ce dernier niveau devrait prendre en compte « des critères garantissant l’immunité contre les lois extraterritoriales ». Cette disposition vise bien évidemment les États-Unis, où le Cloud Act autorise les forces de l’ordre à saisir toute donnée hébergée par une société américaine, même à l’étranger. Google, Amazon et Microsoft, les plus grands fournisseurs de cloud, sont évidemment concernés.

Et les offres hybrides ?

« Il ne faut pas accepter que des puissances nous volent nos données. Je suis opposé au principe d’extraterritorialité des lois américaines », a souligné Bruno Le Maire. En France, le label SecNumCloud est pourtant théoriquement accessible aux entreprises hybrides installées sur le sol français. Ainsi de l’offre S3NS de Thales et Google ou encore de Bleu proposé par Orange, Capgemini et Microsoft, qui devraient arriver bientôt sur le marché.

Néanmoins, une étude du cabinet américain Greenberg Tauring conclut que les entreprises implantées dans l’UE sont bien soumises au Cloud Act si elles ont des activités aux États-Unis. Il est donc peu probable que Bleu ou S3NS puissent obtenir la qualification SecNumCloud.

DropCloud, une solution 100 % française

Chez DropCloud, les données que vous nous confiez ne courent pas ce genre de risque. DropCloud est une entreprise française, qui héberge vos données sur le territoire français.

De plus, toutes nos solutions sont certifiées ISO 27001, et même HDS pour Hébergeur de données de santé. Avec DropCloud, vous pouvez envoyer et recevoir des documents confidentiels grâce à WeSend. Vous pouvez également partager des fichiers sur notre espace sécurisé WeDrop. Enfin, notre offre NeoBe vous garantit une sauvegarde en ligne sécurisée, certifiée et 100 % française !