Le Cloud de confiance à la recherche de son second souffle
Publié par Alain Clapaud le - mis à jour à
Si la place de SecNumCloud dans le référentiel de sécurité européen EUCS reste encore à définir, la qualification décernée par l'ANSSI reste une référence pour les acteurs français du Cloud de confiance. Plusieurs fournisseurs se préparent à la certification de leurs services.
Alors que l'ANSSI a récemment publié ses recommandations* pour l'hébergement dans le Cloud des systèmes d'information sensibles, le marché du Cloud de confiance français se structure. Désormais tous les hyperscalers et Oracle disposent de datacenters en France et de structures pour garantir à leur client une certaine protection vis-à-vis des lois extraterritoriales américaines.
Mais cette localisation est loin d'être suffisante pour assurer la confiance. « Limiter la souveraineté à la localisation des données et au chiffrement n'est pas suffisant. On peut être localisé aux états-Unis et orchestrer un cluster Kubernetes en Europe, avoir tous ses administrateurs systèmes, administrateurs de bases de données et même les chargés de compte aux Etats-Unis », estime estime Julien Levrard, CISO d'OVHcloud, en soulignant que les Clouds sont mondiaux, interconnectés, et l'endroit où se trouve physiquement la donnée n'a pas tellement d'importance.
La souveraineté ne se limite pas à la localisation
Pour l'heure, le véritable étalon de la souveraineté Cloud reste la qualification SecNumCloud de l'ANSSI. La liste des prestataires qualifiés compte Cloud Temple, OutScale, OOdrive, OVHcloud et Worldline. Ils ont été rejoints par quelques éditeurs verticaux, comme Index Education. La liste des prestataires en cours de qualification s'allonge et devrait croître encore ces prochains mois. En effet, la nouvelle vague des prestataires de confiance arrive. Les Bleu, S3ns et NumSpot visent à offrir des offres SecNumCloud à terme.
Porté par Thales, S3ns veut proposer une déclinaison souveraine de la Google Cloud Platform. Le 1er février dernier, il présentait sa première offre baptisée « Contrôles locaux ». La solution n'a pas vocation à être qualifiée SecNumCloud, puisqu'elle est très limitée : il ne s'agit que de garantir la localisation des données en France ou dans l'UE, assurer le chiffrement avec des clés maîtres détenues par le client et enfin assurer un support technique par les équipes S3ns. C'est bien au deuxième semestre que S3ns va véritablement lancer son offre IaaS et entrer dans la bataille du Cloud de confiance.
Créé par la Banque des territoires, Docaposte, Dassault Systèmes et Bouygues Télécom, NumSpot avance vite et bénéficie surtout de la qualification SecNumCloud de son partenaire OutScale. « Nous nous appuyons sur les services IaaS qualifiés d'Outscale afin de proposer des services PaaS pour que ces usages du Cloud soient plus simples », résume Servane Augier, directrice Commerce et Marketing chez NumSpot.
Lancée en février 2023 avec de l'hébergement de snapshots, de VM et des GPU, son offre s'est nettement étendue cet été : « Nous avons ouvert cet été notre service OpenShift managé en beta, notre service Kubernetes et, depuis septembre, la base de données PostgreSQL en mode managé. Nous avons également lancé cet été notre service de stockage en mode objet S3, ainsi que notre IAM, un service de gestion des identités totalement unifié à travers notre portail », poursuit la responsable. Au-delà de cette grosse phase de lancement, NumSpot compte continuer à enrichir son catalogue PaaS.
Bleu, troisième acteur de cette nouvelle génération, a pris six mois de retard en attente du feu vert de l'autorité de la concurrence européenne. Coentreprise détenue à 50/50 par Capgemini et Orange, elle veut proposer aux entreprises et aux administrations une version souveraine de Microsoft Azure.
Bleu n'a pu être juridiquement formé que le 1er janvier 2024, mais le projet avance désormais rapidement. « Sur la partie infrastructure, nous sommes prêts ! Nos deux datacenters sont en place et 10 000 serveurs ont été installés dans notre datacenter en région parisienne et dans le sud de la France, pour le second. Désormais, nous travaillons à la mise en place de la couche logicielle et le lancement de nos services s'effectuera en plusieurs temps », indique Jean Coumaros, CEO de Bleu.
Il faudra attendre la fin de l'année 2024 pour voir arriver les premiers services. Ceux-ci correspondront à la couche IaaS de Microsoft Azure. Mi-2025 devraient arriver la couche PaaS, ainsi que la suite collaborative Microsoft 365, et enfin la marketplace Bleu pour accéder à des solutions d'éditeurs tiers. Faire qualifier les processus et la plateforme Microsoft Azure hébergée par Bleu reste un défi. Un audit de code complet est impossible, mais Bleu prévoit des inspections dans les mises à jour fournies par Microsoft et un véritable audit de code sera mené sur le composant qui déploie ces mises à jour, une démarche transparente vis-à-vis de l'ANSSI.
Des offres souveraines qui gagnent en maturité
En parallèle, les acteurs souverains en place ne restent pas l'arme au pied. Ainsi, Cloud Temple joue à la fois la carte d'une offre IaaS SecNumCloud et l'interopérabilité avec Microsoft Azure et AWS. Cet outsider a décroché la qualification SecNumCloud de son offre OpenShift, comme l'explique Nicolas Dufour, directeur du développement et de la stratégie de Cloud Temple : « En juin, nous avons qualifié notre PaaS OpenShift qui est non seulement un orchestrateur de conteneurs, mais surtout un socle qui va permettre de déployer toute une série de services qui pourront être consommés par nos clients pour accélérer leur transformation numérique. Nous avons aussi le stockage objet S3 qui est très attendu par nos clients, et qui est utilisé dans de nombreux cas d'usage. » Le responsable estime que la feuille de route actuellement appliquée par le CSP va lui permettre de passer un nouveau cap en termes de nombre de services.
Tout semble se mettre en place pour que le marché du Cloud de confiance accélère au deuxième semestre et en 2025. Reste à voir quel sera l'impact du futur schéma de certification européen sur ce bel élan.
* Un document qui recommande le référentiel SecNumCloud pour les applications traitant des données à diffusion restreinte, les SI sensibles relevant de la doctrine Cloud au centre de l'État, ceux des opérateurs d'importance vitale (OIV) et des systèmes d'information d'importance vitale (SIIV).