Vincent Strubel, directeur général de l'ANSSI, l'agence française de cybersécurité, a clarifié mardi les enjeux de la qualification SecNumCloud, après la polémique née de la certification de S3NS, filiale de Thales associée à Google Cloud.
Le 19 décembre dernier, l'entreprise S3NS, fruit de l'alliance entre le géant hexagonal Thales et l'Américain Google Cloud, a vu son offre de cloud « hybride » PREMI3NS décrocher la plus exigeante des certifications du cloud européen par l'ANSSI, baptisée SecNumCloud 3.2. La qualification a enflammé le débat sur la souveraineté numérique en France, ce qui pousse Vincent Strubel à réagir. Dans un post publié sur LinkedIn ce mardi 6 janvier, le directeur général de l'Agence nationale de la sécurité des systèmes d'information remet les pendules à l'heure.
SecNumCloud, une qualification de cybersécurité qui « n'est pas une médaille en chocolat »
Obtenir la qualification SecNumCloud ne se fait pas en claquant des doigts. Seuls OVHcloud, Oodrive, Outscale, Docaposte et S3NS ont décroché le niveau maximal de cette certification. Vincent Strubel le martèle, « ce n'est ni une décision arbitraire, ni un choix politique ». Dans la pratique, l'ANSSI mandate un évaluateur indépendant qui passe au crible près de 1 200 exigences techniques, directement chez le candidat. L'agence contrôle ensuite son travail et peut exiger des vérifications supplémentaires. Le processus est long par nature, puisqu'il s'agit, à la fin, de sécuriser les infrastructures qui hébergeront les données sensibles de l'État et des entreprises françaises.
Le référentiel a dix ans d'âge et de sagesse accumulée. Depuis juillet 2014, il évolue au fil des retours terrain et des nouvelles menaces identifiées. « Ce n'est pas une médaille en chocolat, et ce n'est pas pour tout le monde », ajoute Vincent Strubel. Les solutions cloud standard, même chez les géants américains, ne cochent généralement pas toutes les cases. Trop de failles, trop de zones grises.
Mais que protège exactement cette fameuse qualification ? En réalité, trois catégories de menaces bien distinctes. D'abord, les cyberattaques qui visent quotidiennement les prestataires cloud pour voler ou compromettre les données. Ensuite, le droit extraterritorial, avec toutes les lois américaines ou chinoises qui permettent de réquisitionner des données hébergées en Europe. Enfin, les risques humains, par exemple un employé du prestataire corrompu ou infiltré qui pourrait accéder illégalement aux informations sensibles. SecNumCloud vérifie que le prestataire sait se défendre contre ces trois fronts.
Le cloud hybride qualifié bloque l'accès extraterritorial aux données
Le droit américain permet de réquisitionner les données d'un prestataire, même hébergées en Europe. Le Cloud Act et les lois FISA autorisent Washington à exiger l'accès aux informations de clients européens, sans recours ni même information des intéressés. La Chine a adopté des dispositions similaires en 2017. Pour Vincent Strubel, SecNumCloud « protège contre ce risque » en imposant qu'un prestataire européen contrôle seul les données.
La certification poursuit un objectif d'étanchéité totale, en isolant totalement les données des acteurs non européens. Concrètement, si un prestataire qualifié s'appuie sur des fournisseurs américains ou chinois, ces derniers ne doivent en aucun cas accéder aux données de ses clients. Dans une offre hybride, comme c'est le cas pour S3NS avec les outils phares de Google Cloud, la brique logicielle vient d'outre-Atlantique, mais seul l'opérateur européen administre les serveurs et gère les accès. Donc même si le fournisseur américain reçoit une injonction judiciaire via le Cloud Act, « il n'a pas accès aux données et ne peut par conséquent pas donner suite », confirme le patron de l'ANSSI.
Le scénario du kill switch a récemment rappelé d'autres fragilités. Des magistrats de la Cour pénale internationale (CPI) ont vu leur service coupé net après des sanctions américaines. SecNumCloud garantit l'autonomie d'exploitation, et que le prestataire puisse faire tourner sa solution « avec ses ressources et compétences propres, sans intervention extérieure ». Un sous-traitant américain ne peut donc pas couper l'électricité à distance.
Les cyberattaques restent la menace la plus concrète pour le cloud
Les débats tournent autour du droit extraterritorial, mais Vincent Strubel rappelle aussi le contexte de cyberattaques contre les prestataires de cloud. « Ces cyberattaques demeurent la menace la plus tangible » pesant sur le cloud sensible, dit-il. Les prestataires, quelle que soit leur nationalité, subissent des assauts permanents. Hyperscalers américains comme champions européens, personne n'est épargné. Et parfois, ça passe pour les attaquants.
Le référentiel SecNumCloud impose donc des exigences techniques drastiques. Parmi elles, on peut citer le cloisonnement béton entre clients, la chaîne d'administration isolée, la gestion sécurisée des mises à jour, et le chiffrement systématique des données au repos et en transit. Ces contraintes répondent aux menaces réelles identifiées par l'ANSSI sur le terrain. Vincent Strubel insiste en précisant qu'elles « ne sont généralement pas toutes satisfaites par une offre de cloud standard, quelle que soit son origine ».
N'oublions pas non plus le facteur humain, qui complète l'équation. Un employé corrompu, infiltré ou contraint peut causer des dégâts considérables. Le référentiel SecNumCloud y consacre un chapitre entier, avec des exigences organisationnelles strictes. Avec pour objectif de « garantir qu'aucun employé du prestataire ne peut porter une atteinte grave à la sécurité du service de cloud sans être détecté », souligne Vincent Strubel. Ces autres menaces passent sous les radars du débat public, mais restent cruciales.
SecNumCloud n'offre pas l'indépendance technologique totale
Alors, non, SecNumCloud ne promet pas l'indépendance absolue. Vincent Strubel l'assume, la qualification « ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète ». Tous les acteurs, hybrides ou non, dépendent de composants électroniques et logiciels conçus hors d'Europe. Qu'il s'agisse des processeurs, des systèmes d'exploitation ou des bases de données, personne ne maîtrise 100% de la chaîne.
L'open source aide, mais reste loin d'être « la panacée ». Comme l'explique monsieur Strubel, aucun État ni entreprise ne peut prétendre maintenir seul toute la stack technologique, « depuis le noyau Linux jusqu'à Openstack, PostgreSQL, en passant par les milliers de modules python, javascript ». Que ce soit pour les offres hybrides ou non-hybrides, tout le monde a des dépendances, simplement à des niveaux variables.
La localisation des données dans l'Union européenne reste dans tous les cas un prérequis incontournable. Vincent Strubel concède qu'elle ne protège pas à elle seule du droit extraterritorial. Mais elle garantit que les infrastructures physiques relèvent du droit européen et facilite l'intervention des « cyberpompiers » en cas de crise, comme le CERT-FR de l'ANSSI.
Sur la souveraineté numérique, Vincent Strubel prend position. SecNumCloud répond à deux enjeux précis : ne pas être « une victime facile » face aux cyberattaques, et « faire appliquer nos règles, plutôt que subir celles des autres ». Les offres qualifiées sont donc « sans le moindre doute, "souveraines" ». Mais cette qualification reste « un outil de cybersécurité, pas de politique industrielle ». Elle ne fera pas pousser miraculeusement des alternatives européennes. Le message est donc clair : arrêtons de lui demander l'impossible.
