L’ANSSI a délivré la qualification SecNumCloud 3.2 à l’offre PREMI3NS de S3NS. Cette reconnaissance valide une approche encore peu répandue à cette échelle : des technologies hyperscale opérées en France par un acteur soumis au droit européen, pour l’hébergement et le traitement de données particulièrement sensibles.
Concilier puissance du cloud et exigences de souveraineté
Le cloud est devenu l’infrastructure de référence des systèmes d’information. Mais dès lors que les données présentent un caractère sensible, les arbitrages se compliquent. Les offres souveraines peinent parfois à suivre le rythme fonctionnel et technologique des hyperscalers, tandis que ces derniers exposent les organisations à des risques juridiques et de dépendance difficilement acceptables dans certains contextes.
S3NS s’inscrit dans cet entre-deux. Créée par Thales et Google Cloud, l’entreprise opère en France une infrastructure reposant sur les technologies Google Cloud, tout en conservant la maîtrise complète des opérations, de la sécurité et de l’exploitation. « Google fournit la technologie, mais nous opérons les services de manière autonome, sans dépendance avec leur environnement », explique Victor Vuillard, directeur technique et sécurité de S3NS.
Ce modèle repose sur un niveau de transparence inhabituel dans l’univers du cloud, jusqu’à l’accès au code source. Un prérequis pour répondre aux exigences de l’ANSSI et pour auditer l’ensemble des couches logicielles et matérielles mises en œuvre.
SecNumCloud 3.2, un cadre de confiance parmi les plus stricts en Europe
La qualification SecNumCloud, délivrée par l’ANSSI, définit aujourd’hui le niveau le plus élevé en matière de sécurité et de maîtrise des services cloud en Europe. La version 3.2 du référentiel renforce encore les exigences, tant sur le plan technique que sur les conditions d’exploitation et le cadre juridique.
Le référentiel impose un cloisonnement strict des environnements, un chiffrement généralisé des données, une supervision continue, des tests d’intrusion réguliers et des dispositifs solides de continuité et de reprise d’activité. Il encadre également très précisément les profils des administrateurs, leur localisation, l’usage de postes dédiés, la gestion des incidents et la réversibilité des données. L’ensemble du service doit être opéré sous droit européen et protégé contre les législations extraterritoriales. La qualification est limitée dans le temps et fait l’objet d’audits annuels, avec un réexamen complet tous les trois ans.
Dans le cas de S3NS, l’ANSSI a validé un périmètre particulièrement large. L’offre PREMI3NS est qualifiée simultanément sur les couches IaaS, CaaS et PaaS, couvrant plus d’une vingtaine de services. « C’est la première fois qu’une région Google Cloud opérée de manière autonome obtient cette qualification », souligne Victor Vuillard.
Contrôler chaque évolution sans bloquer le rythme du cloud
Pour rester conforme à SecNumCloud tout en suivant les évolutions rapides de Google Cloud, S3NS a mis en place un dispositif de contrôle systématique des mises à jour. Chaque nouvelle version est d’abord déployée dans un environnement isolé, sans données clients, puis analysée avant toute mise en production. Les équipes examinent le comportement des composants, comparent les versions et vérifient leur conformité aux exigences de sécurité. Plusieurs millions de composants logiciels sont ainsi analysés chaque jour.
La supervision s’appuie sur un SOC interne dédié à l’infrastructure S3NS, complété par le SOC de Thales qualifié PDIS par l’ANSSI. Une organisation pensée pour détecter et traiter les incidents à un niveau compatible avec des environnements critiques.
« L’obtention du Visa de sécurité ANSSI pour la qualification SecNumCloud 3.2 marque l’aboutissement d’une collaboration unique entre deux leaders du cloud et de la cyber, et ouvre de nouvelles perspectives pour l’ensemble du marché français et européen », explique Christophe Salomon, directeur général adjoint chez Thales.
