Lancée en 2016 par l’ANSSI pour permettre aux entreprises publiques et privées de basculer dans le Cloud en toute confiance et faire émerger, par la même occasion, des acteurs français, le référentiel SecNumCloud n’a pas rencontré le succès escompté. En cause, probablement, une difficulté à se positionner entre une concurrence internationale et une volonté européenne de prendre le sujet en main pour harmoniser le marché.
Faut-il encore s’engager dans une certification SecNumCloud ? La question se pose, et pour plusieurs raisons. D’une part, depuis 7 ans, le nombre d’acteurs ayant obtenu la certification se compte sur les doigts d’une main (voir encadré). D’autre part, l’EUCS (European Union Cloud Security Certification), dont l’atterrissage est prévu pour la fin de l’année, cherche à prévenir la fragmentation du marché et, en conformité avec le Cybersecurity Act de 2019, a enclenché une démarche d’harmonisation des mécanismes d’évaluation. La France joue d’ailleurs un rôle prépondérant dans le développement du schéma de certification et la version SecNumCloud 3.2 publiée en mars 2022 fait même office de référence pour le niveau « élevé » de la future certification. Une bonne chose pour les acteurs du vieux continent mais qui pourraient déranger les géants outre-Atlantique plus à l’aise justement face un marché fragmenté. « Amazon (AWS), Microsoft (Azure) et Google (GCP) détiennent 71 % du marché du Cloud européen, rappelle William
Méauzoone, fondateur de la startup Leviia spécialisée dans la sauvegarde en ligne. Leurs prises de position et annonces sont donc logiquement largement relayées. Et ces acteurs se donnent du mal pour rassurer les entreprises et organisations, ce qui est finalement le signe qu’ils ont conscience que le sujet de la souveraineté et de la protection des données est désormais un vrai enjeu pour nos organisations. »
Se méfier des “chevaux de Troie” venus d’outre-Atlantique ?
Le 25 octobre dernier, Amazon Web Services annonçait la disponibilité, en Allemagne, de son offre de Cloud souverain européen. Une infrastructure Cloud installée en Europe mais distincte, à la fois physiquement et logiquement, des autres régions Cloud d’AWS et dont seuls les employés d’AWS résidant dans l’UE auront le contrôle de son exploitation et de son support. Pour Jérôme Valat, cofondateur de Cleyrop, plateforme de gestion de données sécurisées, il s’agit là d’un aveu flagrant de perméabilité des données hors UE : « Dans son communiqué, AWS promet qu’ils ne pourront pas accéder aux données des clients ni les utiliser à quelque fin que ce soit sans leur accord. Ils vont encore plus loin en leur proposant des besoins accrus en matière de résidence de données afin de pouvoir conserver au sein de l’UE toutes les métadonnées qu’ils créent. Que doivent en penser leurs clients ? C’est inquiétant ! AWS rejoint la longue liste d’attente de ces offres cheval de Troie comme S3NS espérant un jour recevoir le label SecNumCloud à force de lobbying. » Depuis sa signature en octobre 2021, le partenariat entre Google et Thales n’a, en effet, toujours pas reçu son écusson. Ce qui n’a pas pour autant empêché l’assureur Matmut de choisir leur offre “contrôle locaux” pour stocker ses données.
Une aide financière entre 40 et 180 000 euros pour cocher les cases
Bleu, qui réunit Orange, Capgeminini et Microsoft est également sur liste d’attente. Néanmoins, signe, malgré tout, que l’Etat et l’ANSSI souhaitent que le référentiel ne tombe pas dans l’oubli, « Bpifrance a ouvert cet été un guichet d’accès visant à faciliter l’accès à la qualification SecNumCloud sous 2 ans pour les PME. Une aide d’accompagnement externe de 40k€ à 180k€ pouvant être attribuée à cet effet », souligne Etienne Lafore, Senior Manager chez Wavestone. En ligne directe avec le plan de relance, l’idée de cet appel à candidatures est de soutenir la montée en maturité cyber des PME éditrices de solutions SaaS ou PaaS en leur facilitant l’accès à ladite certification. Le dispositif comporte quatre modules : l’audit initial, la transformation, la conformité et l’aide à la qualification. Les entreprises candidates devront apporter une part d’autofinancement s’agissant de leurs coûts internes pour participer aux modules ainsi que pour le financement de l’audit de qualification.
