Un cloud souverain est un service d’hébergement en ligne qui fonctionne exclusivement dans un État ou une région particulière. Pour faire simple, il s’agit de se conformer aux normes juridiques en vigueur relatives à la protection et à la confidentialité des données de cet État.
Fournisseurs et utilisateurs d’un cloud souverain habitent de facto sur le même territoire. En effet, l’hébergement, la gestion et les infrastructures doivent être situés dans la même zone de juridiction.
En voici la définition donnée par le Ministère de l’Intérieur et le Ministère de la Culture : « un modèle de déploiement dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises ».
Dans le cadre du cloud souverain, une autre catégorie renforce encore la sécurité des données. Le terme de SecNumCloud a été proposé par l’Agence nationale de la sécurité des systèmes d’information (Anssi) à destination des opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). L’idée est de proposer une approche centralisée du Cloud plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire.
Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’Anssi.
La qualification SecNumCloud est obtenue pour une durée de trois ans.
SecNumCloud a été présenté sous sa première version officielle en 2016. Il a connu une première révision en 2018, avant une seconde qui a abouti à la version utilisée actuellement.
Cette qualification est une évolution du label Secure Cloud présenté par l’Anssi en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information, tout en ajoutant de nouvelles exigences additionnelles spécifiques aux acteurs cloud.
Les sociétés pouvant prétendre à la qualification sont des fournisseurs de service cloud qui souhaitent prouver leur respect des bonnes pratiques en matière de sécurité. Le processus de qualification porte sur l’offre spécifique d’une société candidate, que celle-ci soit en IaaS, PaaS, ou Saas.
Mais cette qualification revêt aussi un intérêt pour les entreprises clientes qui cherchent à savoir quel service cloud privilégier pour la sécurité de leurs données. Une qualification correspond à une recommandation d’utilisation de ce service par l’État français, ce qui permet notamment d’être retenu pour une utilisation par certains services nationaux, comme l’armée, par exemple.
Plusieurs « bonnes pratiques » sont listées dans le référentiel de l’Anssi, une liste d’une quarantaine de pages sur les pratiques de sécurisation à mettre en œuvre pour les acteurs du IaaS, PaaS et SaaS. Ce référentiel fonctionne sur deux niveaux : un premier niveau « essentiel » et un niveau « avancé ». Le niveau essentiel décrit un premier niveau d’exigence qui permet d’attester la capacité à traiter des données non critiques pour le client. Le second niveau atteste de la capacité à manipuler des données critiques.
Parmi les conditions édictées par l’Anssi, on retrouve quelques évidences en matière d’hygiène numérique, mais aussi des dispositions relatives à la sécurité des locaux ou à la désignation de fonctions liées à la sécurisation de l’information. Parmi les dispositions, on retrouve également des notions ayant trait à la localisation des données, qui doivent être hébergées et traitées en Europe pour le niveau « essentiel » et en France pour le niveau « avancé ».
Outre les bonnes pratiques de sécurité, les exigences SecNumCloud imposent un important travail de documentation des processus et de segmentation du réseau. Les exigences du référentiel sont nombreuses et touchent à des aspects variés, allant de la sécurité physique des locaux aux personnels habilités à travailler sur l’offre qualifiée.
La qualification SecNumCloud est globalement assez compliquée à obtenir, les critères d’attribution étant élevés.
Cloud Temple : Secure Temple
Oodrive : Oodrive_platform avec Oodrive_collaborate, Oodrive_meeting et Oodrive_share
Outscale SAS : IaaS Cloud on Demand
OVH : Private Cloud
Worldline : Worldline Cloud Services – Secured IaaS