Pour répondre à ces enjeux, deux notions clés émergent : le cloud souverain et le cloud de confiance. Bien qu’étroitement liés, ces concepts recouvrent des réalités différentes et répondent à des attentes distinctes.
Cloud souverain et cloud de confiance sont-ils équivalents ?
Être souverain constitue une condition nécessaire mais non suffisante pour être qualifié de cloud de confiance. Le concept de cloud souverain est de garantir la protection contre les lois extraterritoriales, qui est un pré-requis essentiel pour assurer la sécurité des données. Un fournisseur souverain doit respecter plusieurs critères structurels : être basé en France, avec un capital et des droits de vote majoritairement détenus dans le pays. Cette souveraineté offre une protection juridique pérenne pour les données sensibles, mais ne suffit pas pour répondre être qualifié de cloud de confiance.La qualification SecNumCloud, mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), est un référentiel qui impose des normes strictes de sécurité technique, organisationnelle et juridique pour que les solutions cloud soient considérées comme fiables, robustes et dignes de confiance.
Par ailleurs, cette qualification est un préalable obligatoire pour satisfaire les exigences de la doctrine « cloud au centre » adoptée par l’État. Cette dernière concerne les administrations et entreprises gérant des données stratégiques ou sensibles. Pour ces entités, s’appuyer sur un fournisseur de cloud disposant de la qualification SecNumCloud reste donc le moyen le plus sûr de garantir une protection optimale de ces données.
Au-delà de la protection des données sensibles, un cloud de confiance assure aussi la continuité des activités grâce à des dispositifs de redondance et de réplication des données. Par exemple, en cas de cyberattaque, une interruption de service peut causer des pertes économiques importantes, et impacter de façon plus ou moins forte l’image et la crédibilité d’une entreprise. La capacité à maintenir ses activités face à de telles crises, autrement dit la capacité de résilience, devient ainsi un critère déterminant dans le choix
d’un prestataire cloud.
Quelles conditions pour un cloud de confiance ?
Pour évoluer d’un cloud souverain à un véritable cloud de confiance, il faut aller au-delà de la sécurité technique et de la souveraineté, et leur adosser une sécurité organisationnelle et contractuelle. Cela signifie que la politique de sécurité des systèmes d’information déployée par les fournisseurs de services cloud des doit être conforme aux normes établies par l’ANSSI. L’humain joue également un rôle central dans cette démarche : il est crucial que les collaborateurs du fournisseur soient formés régulièrement aux enjeux de cybersécurité et à la protection des données.Maintenir ce niveau d’exigence implique des ressources importantes sur le long terme au sein des entreprises, d’autant que la qualification SecNumCloud est soumise à des audits annuels réalisés par l’ANSSI et par des prestataires spécialisés dans la sécurité des systèmes d’information (PASSI).
Le cloud de confiance amené à être davantage adopté
Malgré ces contraintes, de plus en plus d’acteurs du cloud aspirent à être « de confiance », et ce même si cette certification reste aujourd’hui accessible à peu de prestataires. Les éditeurs souhaitent de plus en plus s’appuyer sur des fournisseurs d’infrastructures de confiance, afin de bénéficier du plus haut niveau de sécurité possible et donc d’une sécurité maximale, qui leur permettra de faciliter l’application des différentes réglementations, comme NIS2 et DORA.Bien que le statut de cloud souverain soit un préalable pour atteindre le niveau de cloud de confiance, il ne garantit pas à lui seul le plus haut niveau de sécurité. Face à ce constat, la qualification SecNumCloud se pose comme référence incontournable pour les entreprises et institutions souhaitant protéger efficacement leurs données sensibles. Elle constitue également la meilleure garantie en matière de fiabilité, de résilience et donc
de cloud de confiance.
En choisissant un fournisseur de confiance, qualifié SecNumCloud, les entreprises délèguent la gestion de la sécurité et de la continuité opérationnelle à des acteurs reconnus et audités par l’ANSSI. Externaliser leur système d’information vers un cloud de confiance leur permet d’accélérer la transformation numérique tout en optimisant leurs coûts, leurs ressources et leur conformité réglementaire. Ces organisations peuvent ainsi évoluer dans un environnement protégé, propice à la concentration sur leur cœur de métier, dans une véritable bulle de confiance.
Par Florian Bertrand, Avant-vente chez NumSpot
