SecNumCloud 3.2, l'ultime bouclier français contre le cyberespionnage étranger ? Derrière cet acronyme se trouve le plus haut standard de cybersécurité français, attribué par l'Agence nationale de sécurité des systèmes d'information (Anssi). Pour l'obtenir, il faut conformer son service et ses logiciels à toute une liste de critères techniques et légaux, mais aussi mettre en place des mesures de sécurité physique, ou encore former des agents spécialisés. Elaborée en 2016, cette certification a reçu une mise à jour en 2022, baptisée 3.2. Celle-ci vise à renforcer les protections contre les lois extraterritoriales, comme le Fisa (Foreign Intelligence Surveillance Act) et le Cloud Act, qui permet aux services de renseignement américains d'accéder aux données d'entreprises étrangères, au nom de la sécurité nationale, à partir du moment où elles utilisent des logiciels américains.

Première entreprise du cloud à obtenir la certification SecNumCloud en janvier 2021 pour son service de cloud privé, le français OVHcloud a validé ce mardi le passage à la version 3.2, un mois après Outscale (Dassault Systèmes). Une aubaine dans un paysage dominé de la tête et des épaules par les géants américains Amazon Web Services, Microsoft Azure et Google Cloud, qui captent à eux seuls plus de 70% du marché et plus de 80% de sa croissance.

Dans ce contexte difficile, détenir le plus haut niveau de certification de l'Anssi, validant à la fois une sécurité technique et juridique, est un argument de poids pour OVHcloud. A l'heure où les réglementations sur la sécurité des données deviennent de plus en plus contraignantes pour les entreprises et organisations européennes, le champion français  y voit l'occasion de s'imposer comme le principal cloud souverain. Et ça marche : son offre de cloud privé labellisé SecNumCloud a déjà convaincu 80 clients, dont des ministères, des grandes entreprises et des PME.

Stratégie « tout SecNumCloud » d'ici à fin 2024

L'obtention de la version actualisée de la certification marque l'accélération de la stratégie « tout SecNumCloud » d'OVHcloud. Comme elle l'a annoncé lors de sa grande messe annuelle fin novembre, l'entreprise planche aussi sur la certification de ses 40 logiciels PaaS (les services qu'elle propose sur son cloud public), et même sur la certification de son cœur d'activité, l'offre bare metal (son offre de serveurs pratiquement dépourvus de couches logicielles). D'ici à la fin de l'année, et sous réserve d'approbation de l'Anssi, toute l'offre du groupe sera donc déclinée dans une version SecNumCloud.

Si l'entreprise veut étendre la certification à l'ensemble de ses services, c'est avant tout pour s'imposer comme un choix évident pour les administrations et les entreprises des secteurs stratégiques comme la santé, les transports ou l'énergie, qui doivent se conformer aux plus hauts standards de sécurité.

Le groupe profite aussi d'effet de bords. La mise en conformité de ses logiciels aux standards SecNumCloud, réputés comme les plus exigeants au monde, permet à OVHcloud d'obtenir sans problème les certifications de sécurité demandées par les autres pays européens. L'entreprise attend donc sereinement l'arrivée de l'EUCS (European Cybersecurity Certification Scheme for Cloud Services), le futur standard européen encore en cours de discussion à Bruxelles, que la France espère aligné sur les hautes exigences de SecNumCloud.

Pour marquer le coup, OVHcloud a également ouvert une troisième zone dédiée SecNumCloud, cette fois dans son datacenter de Gravelines, après ceux de Roubaix et Strasbourg.  De quoi accueillir de nouveaux clients, mais pas que. « Ouvrir l'offre SecNumCloud dans un nouveau datacenter nous permet à la fois d'offrir de nouvelles capacités de résilience et de réduire les temps de latence pour une partie des clients », explique à La Tribune Michel Paulin, le directeur général du groupe.

La menace de la loi Fisa plus forte que jamais

L'actualité légale a de quoi conforter OVHcloud dans son choix stratégique. Car de l'autre côté de l'Atlantique, la controversée loi Fisa, qui encadre les capacités de surveillance des communications (physiques et électroniques) du renseignement américain, vient d'être renouvelée jusqu'en avril 2024, alors qu'elle arrivait à expiration fin 2023. Très intrusive, cette loi a déclenché une polémique à l'automne aux Etats-Unis pour demander son abrogation ou son allègement. Même les géants du numérique se sont joints à la fraude : Google, Apple et Meta ont publié une lettre ouverte demandant une réforme. « Nous ne voulons plus avoir à partager les données personnelles de nos utilisateurs avec les services de renseignements », ont-ils écrit.

Particulièrement décriée, la section 702 de cette loi force les hébergeurs cloud (dont Amazon Web Services, Microsoft Azure et Google Cloud) à fournir aux services de renseignement américains les données qu'ils contrôlent, stockent ou gèrent... ainsi que les clés de déchiffrement pour les lire. Or, si Fisa s'applique avant tout aux acteurs américains, la section 702 de la loi étend sa portée aux personnes physiques et morales non-américaines, et non-résidentes aux Etats-Unis. Autrement dit, Fisa s'applique aux entreprises européennes. Par conséquent, l'existence de cette loi -ainsi que son renforcement par l'administration américaine ces dernières années- relativise la notion même de souveraineté numérique européenne... Et pour s'en prémunir, il faut bâtir une véritable muraille de Chine autour de ses données, qu'est censé incarner SecNumCloud.

De plus, si Fisa est censée ne s'appliquer que dans des cas impliquant la sécurité nationale, de nombreux rapports et révélations, telles que l'affaire Snowden, ont prouvé que les agences de renseignement américaines ont abusé du dispositif pour mettre en place des mécanismes de surveillance de masse, aux Etats-Unis comme chez leurs alliés européens. Mais les différents abus de la loi Fisa rapportés par la presse n'ont pas empêché le parlement américain, puis Joe Biden, de prolonger la loi.

Appel à plus de SecNumCloud dans l'administration

« L'autonomie stratégique de l'Europe est en jeu », avertit Michel Paulin. Face à la menace du cyberespionnage étatique, le dirigeant espère que les administrations se convertiront aux offres cloud labellisées SecNumCloud plus rapidement. Or, aucun acteur américain n'a, pour l'heure, été certifié, et de nombreux acteurs de l'écosystème cloud tricolore parient qu'ils ne le seront jamais.

Le fait que l'Etat impose le standard de sécurité pour les données sensibles, comme le rappelle Le Monde Informatique, devrait aider les acteurs comme OVHcloud ou Scaleway, autre champion tricolore certifié. « La doctrine "cloud au centre" de l'Etat et ses prises de positions vont dans le bon sens, estime Michel Paulin. Mais l'Etat donne trop facilement des exceptions à la règle. Il ne peut pas d'un côté demander des investissements d'ampleur aux industriels du secteur, et ne pas systématiquement montrer l'exemple dans la commande publique », regrette le dirigeant, citant l'exemple du Health Data Hub, grand projet d'entrepôt de données de santé publiques confié à Microsoft.

Pourtant, bien que la certification SecNumCloud coûte cher à mettre en place et opérer pour les opérateurs autant, le coût ne serait pas la principale barrière à l'adoption d'après le dirigeant : les services certifiés ne sont que 12% plus chers que la normale -« un engagement que nous avons pris dès le début » insiste-t-il. Désormais, Michel Paulin aimerait une plus grande compréhension des enjeux de la part des entreprises et du secteur public : « C'est important que les organisations sachent si oui ou non elles sont soumises aux lois extraterritoriales, et qu'elles agissent en fonction du type de données qu'elles traitent ». Mais ni l'UE ni aucun Etat européen ne s'est ému de la prolongation de Fisa, alors que la polémique a été très forte aux Etats-Unis. Ce qui force à poser la question qui fâche en Europe : face à la domination des géants américains du cloud, qui rassurent le marché par leur offre pléthorique et leur réputation d'excellence technologique, la sécurité est-elle un argument suffisant pour convaincre les entreprises et organisations d'adopter des offres SecNumCloud ?