Des technologies cloud américaines labellisées SecNumCloud 3.2, la plus haute certification de l’État français, c’est possible. Pour la première fois, une offre hybride (une technologie cloud américaine opérée par une entreprise française) portée par Thalès et Google Cloud a reçu le précieux sésame.
Surprise ? Le 17 décembre dernier, S3NS, la co-entreprise fondée par le groupe français de défense Thalès et le géant du cloud Google, a reçu officiellement la certification SecNumCloud 3.2 de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI). Ce label est la plus haute certification en termes de cybersécurité de l’État français, destiné à protéger les données sensibles de l’espionnage économique ou étatique. S3NS, société de droit français détenue en majorité par Thalès, est la toute première entreprise impliquant un géant américain à recevoir ce Graal.
Le label va lui permettre à la société hybride créée en 2022 d’accéder à des marchés sensibles (régalien, défense, santé) réservés jusqu’à présent à neuf entreprises françaises, seules détentrices de cette certification.
L’offre, baptisée Premi3ns, « intègre les services Iaas, CaaS et PaaS les plus avancés de Google Cloud, couvrant notamment la data et l’intelligence artificielle, tout en répondant aux critères de protection et de résilience les plus exigeants en France », écrit la co-entreprise dans un communiqué publié sur son site Web.
Une structure qui permet d’échapper aux lois extraterritoriales US ?
S’agit-il d’un séisme, à l’heure où les appels à la souveraineté européenne n’ont cessé de s’intensifier ces derniers mois ? Jusqu’à présent, dirigeants de clouders français et spécialistes nous expliquaient que la présence d’une entreprise américaine empêchait, de facto, l’octroi de la certification SecNumCloud (SNC).
Seules les offres comme Outscale (Dassault Systèmes), OVHCloud, Cloud Temple, et dernièrement Orange Business, proposées par des entreprises françaises, avaient reçu la certification. Le label SNC 3.2 implique une immunité aux lois extraterritoriales américaines ou chinoises. Cette immunité est en théorie impossible à garantir pour une entreprise américaine, soumise au Cloud Act, à la loi Fisa … qui contraignent ces sociétés à communiquer des données sensibles à l’administration américaine.
A lire aussi : « On n’a aucune dépendance technologique » vis-à-vis des États-Unis, le secret d’Outscale révélé par son DG
Mais lors d’une audition au Sénat le 28 mai dernier, Vincent Strubel, le directeur général de l’ANSSI, avait déjà laissé entendre que le fonctionnement de S3NS ou de son concurrent Bleu (Microsoft, Capgemini et Orange) pourrait échapper « à la captation au titre du Cloud Act ou du FISA ». Pour rappel, l’idée de ces deux co-entreprises est de faire héberger la technologie Microsoft ou Google par des entreprises françaises. Dit autrement : la société américaine fournit bien sa technologie, mais elle n’héberge aucune donnée.
« Dès lors qu’une technologie Microsoft, Google ou autre est hébergée par un acteur européen, nous pensons que ça offre un bon niveau de garantie sur le fait que cet acteur ne soit pas soumis sans voie de recours au droit américain, à l’exclusion du droit européen », déclarait-il.
A lire aussi : Clic Droit : Donald Trump et la France vont-ils sauver le Cloud européen ?
Une nouvelle qui suscite des débats
Pour convaincre l’Anssi, Thalès et Google ont d’ailleurs déployé une structure et un fonctionnement présentés comme totalement indépendants et hermétiques à Google. S3NS précise ainsi que « PREMI3NS est opéré et administré exclusivement par des collaborateurs de S3NS dans des datacenters localisés en France. L’ensemble des technologies cloud et leurs mises à jour est reçu dans une zone de quarantaine, et analysé puis validé par S3NS avant de passer en production dans une zone elle-aussi administrée exclusivement par S3NS ».
La nouvelle n’a pas manqué de susciter des débats. En octobre dernier, plusieurs personnalités regrettaient, notamment dans une tribune du Figaro, que ces offres hybrides « restent technologiquement dépendantes des géants américains de la tech ». Côté gouvernement, Bercy a rappelé, dans un courrier adressé en mai dernier à tous les membres du gouvernement français, que leurs données sensibles et celles de leurs administrations devaient bien être stockées sur des clouds non soumis à des lois extraterritoriales (américaines).
La peur de voir les services numériques américains, coupés brutalement par Washington, n’a pas empêché plusieurs entreprises d’opter pour le tout nouveau service SNC de S3NS. Premi3ns est déjà utilisé par une trentaine de clients, dont Thalès, EDF, la MGEN, Birds, la filiale de Véolia. En octobre dernier dans les colonnes d’Euractiv, S3NS avait expliqué que dans un tel scénario catastrophe, il pourrait continuer à fonctionner pendant plusieurs mois. L’autre offre hybride Bleu (Orange, Capgemini et Microsoft), qui s’est lancé aussi dans l’obtention du précieux sésame, pourrait recevoir la qualification SNC dans les prochains mois.
A lire aussi : « Les Américains créent des univers, l’Europe vend des solutions », le patron du Campus Cyber a un plan pour la cybersécurité française
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.