Créé en 2016 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le visa de sécurité SecNumCloud a pour objectif de garantir la sécurité des services cloud (IaaS, PaaS, SaaS) en France. Ce label est devenu un avantage concurrentiel majeur pour ses détenteurs, mais son avenir reste incertain avec les négociations autour du schéma européen de certification cloud.
1. SecNumCloud est-il synonyme de « cloud de confiance » ou « cloud souverain » ?
Non. Bien que les termes « cloud de confiance » ou « cloud souverain » soient souvent utilisés dans le discours commercial des fournisseurs de cloud, ils n’ont pas de valeur juridique. Seules les offres labellisées SecNumCloud peuvent être qualifiées de services de confiance d’un point de vue technico-juridique. Le visa SecNumCloud, délivré par l’ANSSI, permet aux prestataires de cloud de prouver qu’ils répondent aux exigences de sécurité les plus élevées, en particulier vis-à-vis des lois extraterritoriales non européennes. Ce label s’adresse en priorité aux opérateurs d’importance vitale (OIV), aux opérateurs de services essentiels (OSE), ainsi qu’aux entités publiques hébergeant des données sensibles.
2. Quels prestataires sont qualifiés et qui cherche à l’être ?
Parmi les prestataires actuellement qualifiés SecNumCloud, on retrouve des entreprises françaises telles qu’Outscale (filiale cloud de Dassault Systèmes), Oodrive, OVHcloud, et Cloud Temple. De plus, plusieurs entreprises comme Thales (avec S3NS, sa co-entreprise avec Google), Orange Business et Free Pro sont en cours de qualification. Il est à noter que seuls les prestataires ayant accepté de rendre leur démarche publique apparaissent sur la liste de l’ANSSI.
3. Quel est l’avenir du visa de sécurité ?
Le référentiel SecNumCloud est actuellement remis en question avec l’arrivée de nouveaux acteurs, notamment des hyperscalers comme Google, qui tentent de proposer des offres cloud en partenariat avec des entreprises françaises (ex: S3NS avec Thales). Le référentiel SecNumCloud, conçu initialement pour des acteurs nationaux, pourrait voir son efficacité diluée si des offres « hybrides » d’entreprises franco-américaines étaient qualifiées. De plus, l’harmonisation européenne à travers le schéma européen de certification cloud (EUCS) pourrait encore complexifier la situation. La France plaide pour des exigences de souveraineté strictes à l’échelle européenne, mais reste relativement isolée sur ce point.
