Vincent Strubel, à la tête de l’Anssi, a pris son bâton de pèlerin pour rappeler ce qu’est le label SecNumCloud (SNC), après la certification SNC de l’offre de cloud hybride de Google et de Thalès. Pour la première fois mi-décembre, une offre associant un géant américain à une entreprise française a reçu cette certification qui n’était, jusqu’ici, qu’accordée à des entreprises françaises : un tollé pour les défenseurs d’une souveraineté numérique française et européenne.
« Ce n’est pas une médaille en chocolat ». Dans un long billet paru mardi 6 janvier sur son compte LinkedIn, Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a tenu à rappeler ce que signifie la qualification SecNumCloud (SNC), la plus haute certification de cybersécurité de l’État.
Dans son post destiné à apaiser la controverse, après que l’alliance Google-Thalès a reçu ce label mi-décembre, le patron du gendarme français de la cybersécurité l’a martelé : le SNC est « un outil de cybersécurité, pas de politique industrielle ». S’il constitue « un levier indispensable pour défendre notre souveraineté numérique », il ne résout pas « toutes les questions de dépendances » (étrangères).
Le 17 décembre dernier, S3NS, la co-entreprise fondée par le groupe français de défense Thalès et le géant du cloud Google, recevait officiellement la certification SecNumCloud 3.2 de l’ANSSI (SNC). La société de droit français détenue en majorité par Thalès, est la toute première entreprise impliquant un géant américain à recevoir ce Graal, destiné à protéger les données sensibles de l’espionnage économique ou étatique.
À lire aussi : Une première : l’alliance Google-Thalès du Cloud reçoit la plus haute certification de cybersécurité de l’État
« 1200 exigences (“points de contrôle”) vérifiées in situ par un évaluateur indépendant »
La nouvelle n’avait pas manqué de susciter la polémique, du fait de la présence d’une entreprise américaine dans un contexte géopolitique d’appels à davantage d’indépendance et de souveraineté numérique européenne. En pratique, ce label SNC va permettre à la société hybride, créée en 2022, d’accéder à des marchés sensibles (régalien, défense, santé) « réservés » jusqu’à présent à neuf entreprises françaises, seules détentrices de cette certification. Cette qualification avait été décrite comme un non-sens par certains, ouvrant un marché stratégique aux géants américains.
Mais pour le directeur général de l’Anssi, la controverse a surtout « révélé en creux quelques incompréhensions persistantes sur ce que fait ou ne fait pas SecNumCloud ». La certification n’est « ni une décision arbitraire, ni un choix politique : elle découle d’un processus formalisé d’évaluation de la sécurité de la solution candidate », écrit le patron du gendarme de la cybersécurité français. Vincent Strubel cite notamment les « 1200 exigences (“points de contrôle”) vérifiées in situ par un évaluateur indépendant, agissant sous le contrôle de l’ANSSI ».
Concrètement, le SNC impose à la société « un siège social et une capitalisation » européens. Si des sous-traitants ou des fournisseurs non européens sont impliqués de près ou de loin dans l’offre de cloud, ils ne doivent pas avoir accès aux données des clients : un point particulièrement important pour l’immunité aux lois extraterritoriales, un critère du SNC (mais loin d’être le seul).
Toute entreprise américaine est soumise au Cloud Act, à la loi Fisa … des législations qui contraignent ces sociétés à communiquer des données sensibles, y compris européennes, à l’administration américaine. Ce point aurait dû exclure du SNC toute société américaine et donc toute offre « hybride », selon certains.
À lire aussi : Souveraineté européenne : les entreprises pourront bientôt utiliser ce nouvel indice de dépendance aux outils US
Pas d’accès aux données, donc pas de communication forcée des données
Mais pour Vincent Strubel, « dans le cadre d’une offre “hybride” qualifiée » comme celle de SN3S, associant une entreprise américaine, « le fournisseur de la technologie cloud est (bien) soumis aux lois américaines ». Mais il « n’a pas accès aux données ». Il « ne peut par conséquent pas donner suite à une injonction » de l’administration américaine. De même, le SNC protège contre le risque du « kill switch », le fait de voir les services numériques américains coupés brutalement par Washington, y compris dans une offre associant une société américaine, selon le directeur général de l’Anssi.
Ce risque a été pointé du doigt, après que la Cour Pénale internationale, basée à la Haye aux Pays-Bas, a vu ses accès aux services de Microsoft brusquement coupés, à la suite de sanctions imposées par Washington. Or, pour obtenir le label SNC, la société candidate doit en effet être « capable de faire tourner (sa solution de cloud NDLR) avec ses ressources et compétences propres, sans intervention extérieure », écrit-il. Elle a donc « dû démontrer son autonomie dans l’exploitation de la technologie », une autonomie qui la protège d’éventuelles coupures unilatérales. Mais cette autonomie n’est pas absolue : SNC « ne signifie pas l’absence de dépendance », rappelle Vincent Strubel.
À lire aussi : « Les Américains créent des univers, l’Europe vend des solutions », le patron du Campus Cyber a un plan pour la cybersécurité française
Personne n’est « en autarcie complète »
Pour le directeur de l’Anssi, aucun prestataire de cloud, qu’il implique ou pas une société américaine, n’est en « autarcie complète ». Tous s’appuient sur « des fournisseurs non européens », tous dépendent « de composants électroniques (CPU, GPU, etc.) et logiciels (systèmes d’exploitation, bases de données, couches d’orchestration, …) dont la conception ou la mise à jour ne sont pas maîtrisées à 100% en Europe ». Même si, reconnait-il, « une offre SecNumCloud dite “hybride” est sans doute plus exposée » (au risque) de « coupure de l’accès à ces fournisseurs, et aux mises à jour associées ».
À côté de la question du droit extraterritorial, un sujet qui serait surcommenté, comme le suggère Vincent Strubel, le SNC répond aussi à d’autres risques. À commencer par les cyberattaques, qui « demeurent la menace la plus tangible pesant sur les usages sensibles du cloud ». Ainsi le référentiel « impose des exigences très contraignantes sur l’architecture et les caractéristiques techniques du cloud : cloisonnement fort entre les différents clients, chaîne d’administration et de supervision isolée du reste, gestion sécurisée des mises à jour, chiffrement systématique des données at rest et en transit, etc », liste le directeur général de l’agence de cybersécurité.
Son long post n’a pas mis fin aux critiques. Pour Sylvain Rutten, ancien responsable du pôle infrastructure cloud et sécurité chez Docaposte, qui s’exprimait dans un message publié sur LinkedIn, « l’extra-territorialité américaine ne se désactive pas par un communiqué ».
« Elle s’applique dès qu’il existe une juridiction, un levier de contrôle, une dépendance technologique. (…) Si les briques critiques, les éditeurs, les chaînes de support, les mises à jour et les dépendances structurantes restent sous influence américaine, alors ce n’est pas un cloud de confiance. C’est un cloud d’obéissance. Et ceux qui prétendent que le droit suffit à nous en protéger ne défendent pas la souveraineté », a-t-il taclé.
Pour Alain Issarni, l’ancien patron du clouder français NumSpot, la « qualification SecNumCloud ne suffit pas à effacer la dépendance structurelle à des acteurs étrangers », écrivait-il déjà en novembre dernier, déplorant « une forme de blanchiment légal des GAFAM ». Aujourd’hui, « l’enjeu n’est plus seulement technique, mais géopolitique et industriel », estime-t-il sur LinkedIn, après l’annonce de S3NS de décembre dernier. « À quand une vraie stratégie française et européenne pour un cloud souverain, résilient et indépendant ? », questionne-t-il.
À lire aussi : « On n’a aucune dépendance technologique » vis-à-vis des États-Unis, le secret d’Outscale révélé par son DG
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.