« Nous ne sommes pas capables de faire du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises développées en France, a asséné mercredi le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Guillaume Poupard, lors d'une audition au Sénat. Personne n'est vraiment capable de faire cela". Une mise au point très claire pour tous ceux comme par exemple le député Philippe Latombe qui pensent encore le contraire... Et d'appeler un chat, un chat : « sur le cloud de confiance, on ne parle pas de souveraineté absolue », a martelé le patron de l'ANSSI, qui était interrogé par François Bonneau (Union centriste).
Le sénateur de la Charente se demandait en effet comment l'ANSSI pouvait « garantir que des données sensibles ne puissent pas être vues par des puissances étrangères au travers des clouds » proposés par « OVH, Atos, Thales » alors qu'ils sont « tous adossés à des entreprises, qui font partie des GAFAM ». Ceci, alors que mi-septembre, le ministre de l'Économie Bruno Le Maire, le commissaire européen au marché intérieur Thierry Breton et le ministre délégué au Numérique, Jean-Noël Barrot avaient affiché un soutien clair, massif et sans ambiguïté à la filière française du cloud. Objectif : les mettre enfin au cœur de la stratégie nationale, et leur lever un certain nombre de frein. L'État joue intelligemment sur les deux tableaux.
Plus de 270 critères pour être labellisé SecNumCloud
L'ANSSI s'appuie sur son référentiel SecNumCloud pour certifier des solutions de cloud de confiance qui soient « à un niveau de sécurité ». Guillaume Poupard confirme ainsi que des solutions mixtes de confiance entre des opérateurs français tels que Capgemini, Orange, Thales, associés à des GAFAM ne sont pas rédhibitoires à condition de respecter plus de 270 critères fixés par l'ANSSI, qui exige entre autres une protection juridique. « Il est clairement dit que le contrôle, notamment au-delà de toutes les règles de sécurité techniques et opérationnelles, le contrôle des sociétés qui opèrent ces services, ne doit pas être extra-européen pour justement mettre autant que possible à l'abri ces offres de ces juridictions. Il y a de nombreuses initiatives en cours qui permettent d'apporter » cette protection, explique Guillaume Poupard.
Les groupes français, qui souhaitent mettre en place une offre de cloud de confiance, devront se mettre en conformité avec tous ces critères, sous peine de ne pas obtenir le fameux sésame, le label SecNumCloud. Interrogé par la Tribune, Thales, qui investit financièrement dans un projet de cloud de confiance avec Google, compte bien remplir ces obligations. « Ces solutions, en plus de solutions purement européennes, nous semblent indispensables pour couvrir l'ensemble du marché », souligne par ailleurs le patron de l'ANSSI. C'est important de travailler sur des solutions qui permettent d'éliminer le plus possible ces risques juridiques. « Une circulaire sera publiée dans les semaines qui viennent pour clarifier le niveau de protection des données et garantir leur protection face à l'extraterritorialité américaine », avait précisé mi-septembre Bruno Le Maire.
« Les acteurs français ont tendance à travailler en propre mais également avec des fournisseurs de technologies qui ne sont pas tous européens, notamment avec des américains. Ce n'est pas de la souveraineté absolue, mais en termes de sécurité, ça permet de contrôler les choses », estime Guillaume Poupard.
Le directeur général adjoint chez Thales, en charge des systèmes d'information et de communication sécurisés, Marc Darmon, avait estimé en juillet dans une interview accordée à La Tribune que le partenariat avec Google dans le cadre de S3NS allait offrir « un degré de sécurité supérieur qui n'existait pas encore et que l'idée est d'avoir le meilleur des deux mondes : la puissance d'une plateforme telle que celle de Google Cloud avec des règles de sécurité qui sont certifiées par l'ANSSI ».
« Ce qui est fait par les GAFAM est bien fait »
En revanche, les clients qui ne souhaitent pas avoir ce haut degré de protection contre les juridictions extraterritoriales, américaine ou chinoise, peuvent également acheter des services aux GAFAM que ce soit Microsoft, Google, Amazon Web Services pour se protéger contre la cybercriminalité. « Leur niveau de sécurité est très important pour se protéger de la menace criminelle. Objectivement, ce qui est fait est bien fait. Ce serait malhonnête de dire l'inverse », explique Guillaume Poupard.
Et il y a du boulot pour tout le monde. Ainsi, selon lui, en 2020 il y a eu 786 attaques du niveau de l'ANSSI, c'est-à-dire qui peuvent concerner des questions de sécurité nationale. En 2021, l'ANSSI en a dénombré 1.082. Soit 37 % d'augmentation. « On continue à être sur une croissance qu'on peut qualifier d'exponentielle au sens mathématique du terme. La situation ne fait que s'aggraver fondamentalement », rappelle le patron de l'ANSSI.
Sujets les + commentés