Le bras armé de Dassault Systèmes est le premier CSP généraliste à bénéficier de la certification SecNumCloud. Un précieux sésame pour le secteur public et les OIV décroché au nez et à la barbe d’Orange et OVH, mais une seule région dédiée et des tarifs revus à la hausse .
Et de deux ! Après Oodrive en janvier 2019, c’est au tour de 3DS Outscale de décrocher sa certification SecNumCloud. Le CSP filiale de Dassault Système sera donc le premier à proposer des services IaaS sur une région Cloud bénéficiant du précieux label de l’ANSSI SecNumCloud relatif à l’informatique en nuage pour reprendre la terminologie officielle. C’est un vrai différenciant pour 3DS Outscale sachant que bien peu sont les autres prétendants à suivre sans trop d’encombre le processus de certification de l’ANSSI. La liste publique publiée par l’agence ne compte désormais plus que Cheops Technology, OVH et Worldline (dont Atos vient de se retirer du capital) et IDNomic pour une solution de PKI en mode SaaS.
Deux années de travail pour aboutir à la certification
Laurent Seror, fondateur et CEO de 3DS Outscale pouvait donc savourer ce moment de l’annonce en toute quiétude après une phase de certification initiée le 23 novembre 2017 ! « Lorsque j’ai créé 3DS Outscale, j’ai souhaité mettre la sécurité au centre de notre activité et dès 2010 nous avons mis en place les exigences de sécurité les plus fortes. » Comme l’essentiel des CSP de premier plan, 3DS Outscale a collectionné les certifications, à commencer par l’ISO 27001, puis ses évolutions 27017 relative au Cloud et 27018 pour la protection des données personnelles. De plus, 3DS Outscale est agréé Hébergeur de Données de Santé (HDS), mais avec SecNumCloud, Laurent Seror a souhaité aller plus loin dans sa démarche : « Toutes ces certifications permettent de créer un climat de confiance, mais ce n’est pas suffisant car celles-ci ne traitent essentiellement que les menaces connues et existantes, mais quid des menaces du futur ? En France, nous avons la chance d’avoir une institution, l’ANSSI, qui a des équipes en veille permanente sur les menaces et qui rédigent des guides pour bien sécuriser les plateformes contre les attaques existantes et les attaques du passé, mais aussi contre les attaques futures. L’Etat a donc des préconisations, des guides de références de sécurité, notamment le RGS, et peu de secteurs ont aujourd’hui la chance d’avoir un référentiel de sécurité qui soit spécifique à son activité comme l’est le référentiel SecNumCloud pour le monde du Cloud. »
3DS Outscale a dû revoir son approche vis-à-vis des tests d’intrusion
Si le fondateur de 3DS Outscale se félicite de l’existence d’un tel référentiel qui s’inscrit dans la stratégie de certification, décrocher ce précieux label n’a pas été de tout repos pour le CSP français, comme l’a évoqué par la suite Edouard Camoin, CISO de 3DS Outscale : « Nous faisions déjà beaucoup d’audits 27001, d’audits organisationnels, mais nous avons dû aller un cran plus loin grâce à l’ANSSI en nous tournant vers des PenTesteurs qualifiés PASSI. Ce fut une révolution pour nous car nous avions été échaudés par des PenTests qui nous avaient remonté assez peu de vulnérabilités, l’auditeur n’ayant généralement qu’une semaine pour trouver des vulnérabilités. Le PenTesteur PASSI a sans doute un niveau d’excellence supérieur et remonte énormément d’informations, ce qui donne beaucoup d’éléments à traiter, et qui nous a permis de gagner en maturité. » Le CISO a évoqué les 13 axes d’amélioration continue du référentiel SecNumCloud car, même si avec l’ISO 27001 Outscale traitait déjà plusieurs de ces points, le CSP a dû muscler son jeu dans plusieurs domaines : « Nous avons dû aller plus loin, notamment dans notre politique de mots de passe, dans notre politique de chiffrement fort. Nous avions des pratiques relativement standards sur le marché et l’ANSSI nous a poussés à aller plus loin sur ces sujets. Nous avons durci nos accès, ainsi que notre gestion des identités pour aller vers une approche Zero Trust. »
Une région SecNumCloud a été créée
Contrairement aux certifications ISO, SecNumCloud ne s’appliquera pas par défaut à l’ensemble des services IaaS proposés par 3DS Outscale. Pour faire face aux surcoûts organisationnels et solutions techniques imposées par la certification, 3DS Outscale a préféré dédier une région spécifique aux clients souhaitant bénéficier d’une infrastructure SecNumCloud, avec une tarification revue à la hausse. Servane Augier, directrice du développement 3DS Outscale, explique la cible commerciale visée par cette région : « Parmi les missions confiées par Dassault Systèmes à 3DS Outscale figure l’accompagnement du secteur public, et certaines ont déjà intégré à leurs appels d’offres la qualification SecNumCloud. Nous visons aussi des organisations parapubliques et tous les opérateurs d’importance vitale. Ce sont les acteurs qui sont nativement enclins à exiger ce plus haut niveau de certification, mais ce ne seront pas les seuls. Il y aura aussi un pan d’activité qui sera draîné par les éditeurs de logiciels qui, en choisissant un Cloud certifié SecNumCloud, n’auront qu’un petit examen à passer avec l’ANSSI pour pouvoir déclarer leur offre conforme. »
Si Guillaume Poupard n’a pas détaillé en quoi consistera cet examen complémentaire, ce dernier a souligné l’intérêt d’empiler des qualifications et n’avoir qu’à faire certifier le delta plutôt que de devoir faire certifier l’intégralité de la pile technique de l’offre.
Servane Augier a souligné que plusieurs acteurs français exploitaient déjà des ressources Cloud dans la région SecNumCloud de 3DS Outscale. Sans donner plus de précision quant à leur identité, la directrice du développement a précisé ; « Dans le processus de certification, l’ANSSI nous avait demandé de placer déjà des clients en mode conformité SecNumCloud. Ce fut le cas et aujourd’hui la région est pleinement opérationnelle. » La nouvelle région SecNumCloud de 3DS Outscale est commercialement disponible dès aujourd’hui. Elle reprend tous les services IaaS préalablement offerts par 3DS Outscale, par contre tous les tarifs sont majorés de 20 % pour assurer le surcoût engendré par SecNumCloud.
Auteur : Alain Clapaud
