L'attribution du label SecNumCloud est acquise, d'après le directeur général de S3NS
Interrogé par L'Usine Digitale, Cyprien Falque, le directeur général de S3NS, la co-entreprise entre Thales et Google Cloud, est "intimement persuadé" que l'offre conjointe de cloud dit de "confiance" recevra le précieux sésame SecNumCloud par l'Agence nationale de la sécurité des systèmes d'information. Un sérieux revers pour les offres françaises labellisées actuellement proposées sur le marché qui ne feront jamais le poids face à ces deux géants.
Alice Vitard
Mis à jour
17 novembre 2023
L'Usine Digitale a pu s'entretenir avec Cyprien Falque, le directeur général de S3NS, la joint-venture annoncée en juin 2022 entre Thales et Google Cloud. Ensemble, ils souhaitent commercialiser une offre de cloud dit de "confiance" certifiée "SecNumCloud" par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Ce visa de sécurité garantit aux organisations publiques, parapubliques et aux entreprises stratégiques, comme les opérateurs d’importance vitale (OIV), qu’elles s’appuient sur un environnement cloud respectueux des données personnelles et présentant le plus haut niveau de sécurité.
En attendant d'obtenir ce précieux sésame, au quatrième trimestre 2024 d'après ses prévisions, S3NS a décidé de lancer une offre transitoire, baptisée "Contrôles locaux". Pourquoi ce choix ?
Cyprien Falque – Il y a plusieurs raisons qui expliquent ce lancement en deux temps. Le premier est relatif au calendrier : l'offre "Cloud de confiance" sera disponible au quatrième trimestre 2024. Or, lors de l'annonce de S3NS, nous avons vu qu'il y avait beaucoup d'intérêts du côté des clients. Le fait qu'il y ait le label "SecNumCloud" attire beaucoup. Deuxièmement, il fallait proposer quelque chose pour que les clients commencent une trajectoire vers S3NS. D'autant plus que pour eux, ce sont des choix lourds avec des enjeux financiers et juridiques. Troisièmement, cela montre du concret aux clients. Nous savons que c'est un partenariat qui est assez scruté, de la même manière que Bleu [nom de la co-entreprise entre Microsoft, Orange et Capgemini, ndlr].
Nous nous sommes dit entre la solution "Cloud de confiance" et le cloud public, il y avait peut-être de la place pour une solution qui a un niveau de sécurité entre les deux. La solution "Contrôles locaux" est basée sur la région cloud France de Google Cloud Platform qui existe déjà sur laquelle nous rajoutons des mesures et des garanties supplémentaires. Les données restent ainsi localisées dans la région France, les supports sont réalisés par S3NS ainsi que le chiffrement des données. En revanche, l'offre ne protège pas contre une extra-territorialité puisque cela reste Google qui opère. S3NS ne peut ainsi pas garantir que Google ne peut absolument pas accéder aux données. Pour certains types de données, comme par exemple les données personnelles de clients, c'est une solution qui peut intéresser.
Plus généralement, la solution "Contrôles locaux" était implémentable beaucoup plus rapidement et elle permet à des clients qui veulent vraiment aller sur "le Cloud de confiance" d'y aller dès maintenant et pour d'autres, elle apporte un niveau de garantie suffisant.
A quel stade d'avancement êtes-vous actuellement ?
L'offre "Contrôles locaux" est sortie en disponibilité générale en février 2023. Nous avons des services qui s'enrichissent progressivement : nous avons commencé avec tous les services d'infrastructures et en juin, nous avons rajouté les services data. Nous avons des discussions en cours sur le rajout de fonctionnalités d'IA notamment. L'idée est vraiment d'offrir l'équivalent de Google Cloud Plateform en termes de niveau de performance, de qualité de service et de mises à jour des services. Nous avons aujourd'hui une quinzaine de clients. Des échanges sont en cours avec Club Med ainsi que des acteurs du monde de la finance.
Sur l'offre "Cloud de confiance", nous avons commencé l'installation dans les data centers. Nous avons récupéré les zones, nous les sécurisons et nous installons les serveurs. Sur la partie recrutement/formation des opérateurs, plus de la moitié des développeurs ont été recrutés et ont déjà commencé des formations spécifiques sur le cloud. Il faut noter que c'est la première fois que Google Cloud externalise les opérations. Nous avons donc des formations spécifiques qui n'existent pas sur étagère. Sur le développement logiciel, cela suit son cours et nous avançons bien notamment côté Google avec tout ce qui est nécessaire pour rendre autonome les serveurs Google Cloud Plateform. Nous aurons bientôt des premières démo que nous pourrons faire à nos clients.
Etant donné la spécificité de l'offre "Cloud de confiance", des recrutements sont-ils prévus ?
Oui. Il y a de fortes synergies entre les deux offres [Contrôles locaux et Cloud de confiance, ndlr]. Aujourd'hui, dans les effectifs qui travaillent sur "le Cloud de confiance", il y a des forces commerciales pour vendre la solution et des équipes d'ingénierie. Ceux qui gèrent la partie chiffrement géreront les mêmes solutions de chiffrement sur le Cloud de confiance. Idem pour le support client. Donc, in fine, il y a déjà 80% des effectifs. Nous avons déjà commencé à recruter les 20% restants pour "le Cloud de confiance". A la fin, la cible de S3NS c'est plusieurs centaines de personnes – de l'ordre de 200 à 300 personnes – majoritairement dans l'ingénierie.
Sur le sujet de la migration d'une offre à l'autre, une fois l'offre "Cloud de confiance" opérationnelle. Combien de temps cela peut-il prendre pour vos clients ?
Nous n'appelons pas cela une migration car c'est exactement la même technologie dans les deux cas. Cela dépend énormément de l'application du client. Nous ne pouvons pas estimer en pourcentage précisément mais c'est beaucoup moins lourd que lorsque le client est sur une infrastructure qui n'a rien à voir. Cela peut aller très vite, de l'ordre de quelques jours, comme ça peut potentiellement, si le client a développé beaucoup de choses, nécessiter une durée un peu plus longue. Ce que nous essayons de faire c'est de donner les bonnes recommandations aux clients pour ce qu'ils développent dès maintenant soit plus facilement redéployable après.
Sur son site internet, l'offre "Contrôles locaux" est présentée comme ayant reçu de nombreuses certifications ? Est-ce le cas ou est-ce en cours d'obtention ?
Un peu des deux. La solution "Contrôles locaux" tourne sur des data centers Google Cloud existants qui sont certifiés ISO 27 001, hébergeur de données de santé (HDS)… ainsi que sur des solutions de chiffrement qui sont hébergées dans les data centers de Thales qui sont eux aussi certifiés. Donc, l'ensemble fait que nous sommes sur des briques certifiées. En complément, S3NS a lancé des certifications ISO 27 001 et HDS en priorité qui permettent de ne certifier pas seulement les briques mais l'ensemble de la solution et tous les process qui vont avec.
Une fois que "le Cloud de confiance" sera opérationnel. Comptez-vous arrêter "Contrôles locaux" ou conserver l'offre ?
C'est plutôt la deuxième option. Dès le début, nous voulions voir en fonction de la réaction de nos clients. En ce moment, nous observons qu'il y a un vrai marché, une vraie demande pour la solution "Contrôles locaux". En revanche, c'est quand même peut-être dix fois moins gros que sur "le Cloud de confiance", sur lequel tous les clients à qui nous parlons sont intéressés.
N'est-ce pas risqué de faire reposer toute une stratégie sur l'octroi d'un label qui dépend du bon vouloir de l'Agence nationale de la sécurité des systèmes d'information ?
En effet, SecNumCloud est le critère qui fait la pertinence de S3NS et si nous n'avons pas le label, ce ne sera pas viable. Nous avons donc adopté l'approche suivante : dès le début, nous avons travaillé de la manière la plus étroite possible avec l'Anssi. Dans la première phase du partenariat, avant l'annonce, nous avons validé la faisabilité globale de l'offre "Cloud de confiance", notamment technique. Les équipes de Thales et de Google Cloud ont travaillé ensemble avec l'Anssi pour s'assurer que l'architecture était conforme. Nous avons ainsi obtenu un avis de non contre-indication qui dit que l'Anssi ne voit pas de contre-indication à ce que nous obtenions le label "SecNumCloud", basé sur neuf mois d'échanges et 500 pages d'architecture. Mais, même à ce moment-là, ce n'est pas gagné car nous n'aurons le label une fois que tout sera implémenté.
Nous continuons nos échanges avec l'Anssi de façon hebdomadaire pour que chaque choix d'architecture que nous faisons soit conforme. Moi, je suis intimement persuadé que nous aurons le label. Honnêtement, la seule question qui peut se poser est "est-ce que nous l'aurons du premier coup ou est-ce qu'il faudrait refaire une pass un mois après ?". L'incertitude n'est pas sur le fait d'avoir le label.
Et dernier point important : l'Anssi est vraiment moteur et intéressée. Pour eux, c'est important qu'il y ait le plus d'offre possible et les offres hybrides semblent intéressantes pour elle. Elle voit que ce sont des offres qui sont différentes, qui n'existent pas aujourd'hui. Leur enjeu est que ce marché décolle. Donc il faut qu'il y ait des offres comme les nôtres. Nous avons une pleine mobilisation de leur part à tous les niveaux et nous bénéficions également des relations existantes entre l'Anssi et Thales.
A la suite de cette interview, S3NS a contacté L'Usine Digitale pour préciser les propos de Cyprien Falque : "L’Anssi fait partie du dispositif qui contribue à l’implémentation de la stratégie nationale pour le cloud définie par le gouvernement. S3NS travaille pour respecter les critères de certification de l’agence et rejoint la diversité des fournisseurs de cloud qui visent le marché SecNumCloud, promu par le gouvernement".
Des discussions sont en cours pour l'élaboration d'un schéma de certification européen pour les services de cloud computing (EUCS pour European Cybersecurity Certification Scheme for Cloud Services). Une fois adopté, il a pour vocation à remplacer le label français SecNumCloud. Pensez-vous que l'offre "Cloud de confiance" peut intéresser d'autres pays ?
Premièrement, et c'est très important, la viabilité économique de S3NS n'a pas besoin de cette extension européenne étant donné les attentes et les perspectives que nous avons en France. Nous ne sommes donc pas dépendants de cette norme. C'est vraiment vu comme une opportunité additionnelle. Nous serons ravis de pouvoir offrir cette offre en dehors de la France. Opérationnellement, c'est compatible. Un client basé aux Pays-Bas ou en Belgique peut accéder à la solution. D'ailleurs, nous avons des clients français qui envisagent que leur filiale de ces pays-là utilisent la solution.
SUR LE MÊME SUJET
L'attribution du label SecNumCloud est acquise, d'après le directeur général de S3NS
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
