SecNumCloud, un label au cœur de la cybersécurité

Depuis cinq ans, la qualification Secnumcloud délivrée par l’Anssi (Agence nationale de la sécurité des systèmes d’information) est devenue la référence pour les prestataires de services cloud en France. Ce visa atteste que des entreprises respectent les standards les plus élevés en matière de cybersécurité. C’est un véritable sésame pour accéder à des contrats sensibles, notamment avec des opérateurs d’importance vitale (OIV).

Un processus exigeant, des critiques persistantes

Cependant, l’obtention de cette qualification ne se fait pas sans difficulté. Le processus est souvent jugé long et compliqué, et bon nombre de critiques émergent à son égard. Si certains dénoncent sa complexité, d’autres estiment que les critères ne protègent pas suffisamment contre des enjeux liés au droit extraterritorial de pays comme les États-Unis ou la Chine.

La décision récente de qualifier des solutions « hybrides » comme celles de S3NS, utilisant des technologies américaines, ravive les inquiétudes. Nombreux sont ceux qui redoutent que cela n’ouvre la voie à un accès non souhaité aux données sensibles de l’État français par des géants américains tels que les GAFAM.

Des garanties renforcées pour la protection des données

En réponse à ces critiques, Vincent Strubel, directeur de l’Anssi, a alors pris la parole sur LinkedIn pour éclaircir les objectifs et les périmètres de la qualification SecNumCloud. Il a notamment abordé les risques associés au droit extraterritorial. Les lois comme le Cloud Act aux États-Unis permettent aux autorités d’accéder aux données d’entités étrangères, ce qui pose un véritable défi en matière de protection.

Pour atténuer ces risques, la révision 3.2 du référentiel SecNumCloud a introduit des garanties qui garantissent que les prestataires cloud européens ont un contrôle effectif sur les données hébergées. Vincent Strubel affirme que SecNumCloud garantit que les sous-traitants non européens n’ont pas accès aux données des clients. 

L’importance du « kill switch »

Un autre risque pertinent est celui du « kill switch », une fonction qui permet à un acteur étranger de couper l’accès au service d’un prestataire cloud. SecNumCloud prend cela en compte en garantissant l’autonomie des prestataires par rapport aux technologies externes. Ainsi, aucun acteur non européen ne peut interférer avec l’accès aux services en raison de demandes judiciaires dans leur pays d’origine.

Les limites de la qualification

Cependant, Vincent Strubel reste toutefois lucide sur les limites que la qualification présente. Il souligne que SecNumCloud ne peut pas assurer que les prestataires puissent fonctionner en autarcie complète à long terme. En effet, pour offrir des services compétitifs, un opérateur cloud dépend toujours de logiciels et de matériels développés par des entreprises non européennes.

Il met également en garde : « Une coupure d’accès à ces fournisseurs pourrait entraîner une dégradation progressive du niveau de sécurité. » Des interactions commerciales avec des acteurs américains pourraient, quant à elles, donner aux autorités de ce pays des leviers de pression.

Au-delà de SecNumCloud, un enjeu politique

La localisation géographique des prestataires en Europe ne garantit pas nécessairement leur protection contre les actions extraterritoriales. D’après un rapport du ministère de l’intérieur allemand, même un cadre juridique européen peut être contourné par la pression commerciale.

Vincent Strubel rappelle que SecNumCloud est un outil de cybersécurité, mais pas un outil de politique industrielle. La gestion des enjeux géopolitiques relève des responsabilités du pouvoir politique.

Conclusion : la cybersécurité au cœur des préoccupations

Face à l’évolution rapide des technologies et des menaces, la qualification SecNumCloud reste un bâtisseur de confiance dans la filière cloud. Cependant, la complexité et les critiques soulignées rappellent que la route vers une cybersécurité optimale reste parsemée de défis. La vigilance et l’adaptation seront essentielles pour que la France puisse tirer profit des innovations technologiques tout en protégeant ses données les plus sensibles.