Comme annoncé aux Assises de la Sécurité 2021 à Monaco, l’agence nationale de la sécurité des systèmes d’information lance son appel à commentaires relatives à la dernière version de son référentiel SecNumCloud. Parmi les principales avancées, des précisions sur les exigences de stockage et de traitement de données techniques sur le sol européen.
Chose promise, chose due. L’agence nationale de la sécurité des systèmes d’information (Anssi) n’a pas perdu de temps sur le lancement de son appel public à commentaires concernant la dernière version de son référentiel SecNumCloud. Guillaume Poupard, directeur général de l’agence a en effet expliqué lors des dernières Assises de la Sécurité à Monaco la clarification de certains aspects. En particulier liés à la souveraineté, mais pas seulement (container-as-a-service…). « Les observations, commentaires et propositions peuvent être transmises jusqu’au 15 novembre 2021, par courriel, à l’adresse qualification[at]ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous ceux qui répondront à cet appel à commentaires », explique l’administration. Cette mise à jour 3.2 intervient après une précédente (3.1) remontant presque à une éternité en temps informatique (juin 2018).
« Le prestataire doit stocker et traiter les données techniques (identités des bénéficiaires et des administrateurs de l’infrastructure technique, données manipulées par le Software Defined Network, journaux de l’infrastructure technique, annuaire, certificats, configuration des accès, etc.) au sein de l’Union Européenne », peut-on lire dans la dernière mise à jour 3.2 du document de référence SecNumCloud. « Le prestataire doit indiquer dans la convention de service si les données du commanditaire sont automatiquement sauvegardées ou non. Dans la négative, le prestataire doit sensibiliser le commanditaire aux risques encourus et clairement indiquer les opérations à mener par le commanditaire pour que ses données soient sauvegardées ».
Des labellisations SecNumCloud dans les tuyaux
Ces exigences doivent permettre de resserrer les règles visant à qualifier les prestataires de services « en nuage » comme l’indique l’Anssi pour éviter l’anglicisme cloud. Certains fournisseurs étrangers l’ont bien compris et multiplient les partenariats avec des sociétés françaises (Microsoft avec Capgemini et Orange dans Bleu, Google avec Thales…) pour répondre au besoin de (re)montée en puissance du cloud de confiance. Et éviter de se faire évincer des appels d’offres.
Ayant au printemps dernier donné corps à sa feuille de route sur le cloud de confiance, le gouvernement cherche à accélérer l’essor d’offres cloud permettant de bloquer en particulier l’extra-territorialité de lois étrangères comme le Cloud Act ou encore le FISA (Foreign Intelligence Surveillance Act). Or la labellisation SecNumCloud prend du temps – au moins 18 mois – et à ce jour seule une poignée d’élus ont obtenu le précieux sésame (Oodrive avec BoardNox, iExtranet et PostFile, Outscale avec IaaS Cloud on Demand et OVH Private Cloud). D’autres sont en cours (Cheops avec Prestations de Cloud et Services Managés, Cloud Solutions avec Wimi Entreprise, Cloud Temple avec Secure Temple et cloud privé, Idnomic avec ID-PKI en SaaS et Worldline). Le gouvernement a bon espoir de voir émerger dans les prochains mois d’autres offres de cloud labellisées SecNumCloud. A l’heure pour les prochaines élections présidentielles ? Rien n’est moins sûr, l’Anssi étant bien sur ce coup le maitre du temps.