Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer ce qu’est la qualification SecNumCloud de l’Anssi, et pourquoi elle prend une telle importance.
Alors SecNumCloud, c’est quoi ? C’est le nom donné à une qualification décernée par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, pour attester des bonnes pratiques de sécurité technique et juridique des hébergeurs de cloud.
Ça, c’est la version courte. On va la reprendre un peu dans le détail.
Tout d’abord, qu’est-ce qu’une qualification ?
Une qualification de l’Anssi, cela signifie que le produit ou le service a été testé et éprouvé. Et qu’il est donc recommandé par l’Etat français.
Parmi ces qualifications, il y a le très fameux SecNumCloud. Une qualification réservée aux hébergeurs de cloud.
Des acteurs français comme Oodrive ou Outscale ont été les premiers à l’obtenir. Et d’autres comme Amazon Web Services ou Azure de Microsoft pourraient y prétendre. Même si, dans les faits, c’est un peu plus compliqué pour ces deux-là. Mais on va y revenir.
Une garantie technique
SecNumCloud garantit donc que l’hébergeur respecte l’état de l’art en matière de sécurité informatique.
C’est une validation technique importante, car de nombreuses entreprises déportent leurs données et applications chez ces hébergeurs cloud. Si un attaquant parvient à compromettre l’hébergeur, il disposera d’un accès privilégié aux données des clients.
Donc, pour vous convaincre d’aller stocker vos données chez ces hébergeurs, le tampon SecNumCloud est une garantie non négligeable, voire obligatoire dans certains cas.
Les GAFAM privés de SecNumCloud
Depuis 2016, SecNumCloud était une qualification purement technique. L’Anssi se contentait de vérifier que les conditions techniques étaient réunies par l’hébergeur en matière de sécurité.
Théoriquement, des acteurs américains comme Azure, de Microsoft, ou Amazon Web Services pouvaient donc prétendre à la qualification. Mais en fait, c’est bien plus compliqué.
Car aux Etats-Unis, la loi permet aux autorités judiciaires et de renseignement d’accéder aux données hébergées par un fournisseur de cloud américain. Une menace que l’on désigne sous le terme de « loi extraterritoriale ». Ici, le risque n’est donc pas technique, mais juridique. La simple existence de ce type de loi empêche les gros acteurs américains d’obtenir la qualification SecNumCloud.
Le label Cloud de confiance
Reste que plutôt que de réserver le marché du cloud sécurisé à une poignée d’acteurs français validés SecNumCloud, le gouvernement a choisi de revoir sa copie et de lancer le label Cloud de confiance.
Ce label introduit en plus plusieurs conditions juridiques visant à protéger les données des clients des risques liés aux lois extraterritoriales.
Cette évolution va permettre de proposer des offres basées sur des technologies Azure ou Google Cloud, mais en s’assurant que les données restent hébergées sur le territoire européen. Et qu’elles ne sont donc pas soumises aux lois extraterritoriales.
