Le SecNumCloud : une chance pour nos entreprises technologiques

Avoir la maîtrise de son système d'information, lui garantir d'être souverain, c'est d'abord savoir le sécuriser. Parce que la sécurité de nos systèmes d'information n'est pas négociable.

Chronique de Thomas Fauré (CEO Whaller) et Lionel Roux (CEO Wimi)

Dans le cadre du cloud de confiance, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) délivre la qualification SecNumCloud. Ce qui est en jeu, c’est la protection non négociable de données stratégiques qui doivent rester souveraines. Leur sécurisation ne peut donc être traitée que par une exigence absolue de qualité. C’est la raison d’être de SecNumCloud, qui répond à la fois à des critères de cybersécurité technique et, comme nous le verrons, d’un rempart contre le cloud Act.

Très exigeant pour son obtention, le référentiel SecNumCloud est respecté en Europe mais suscite chez certains éditeurs français des craintes voire une levée de boucliers. Ils pointent un risque : seuls les GAFAM et quelques grands groupes auraient l’expertise, le temps et surtout les ressources financières pour l’obtenir. Néanmoins, si nous comprenons ces craintes, nous pensons qu’à y regarder de plus près elles sont exagérées. A contrario, nous pensons que c’est une opportunité. Une opportunité et une obligation.

En effet, l’urgence est là. Le cloud n’est pas une vague, c’est un tsunami. Or, les Français sont en retard en matière de sécurité et souveraineté numérique. D’où une multiplication des cyberattaques visant hôpitaux, collectivités et entreprises, et en parallèle une forte dépendance numérique vis-à-vis des GAFAM. Le dispositif SecNumCloud doit être analysé dans ce contexte particulier.

Avoir la maîtrise de son système d’information, lui garantir d’être « souverain », c’est d’abord savoir le sécuriser, afin d’en détenir une parfaite maîtrise. Dans cette perspective, le SecNumCloud apparaît comme la base de la sécurisation d’un système d’information.

A y regarder de plus près, qui pourrait remettre en question l’un ou l’autre des critères qui sont mentionnés, dès lors qu’il traite de données sensibles ?

Le temps des alliances

SecNumCloud est bâti en couches successives (Iaas, Pass, Saas). Nous avons des hébergeurs français qui sont déjà qualifiés, comme OVHcloud, Outscale, etc. Il est évident que des alliances éditeurs et hébergeurs permettront une accélération de ces processus et la construction d’offres solides.

La qualification SecNumCloud est une opportunité d’apprentissage, de progrès et d’augmentation de la valeur des produits pour les entreprises de services numériques qui veulent grandir. Combien d’éditeurs logiciel ont bâti du « soft » pendant des années, sans faire vraiment attention à ces sujets de cyber ? Quasiment tous ! Mais la cybersécurisation de nos systèmes n’est pas l’apanage des "boîtes de la cyber", ça doit être désormais le sujet n°1 de nos CTO et nos développeurs.

On constate la recrudescence des cyber-attaques, notamment dans les collectivités locales et les hôpitaux dont les systèmes d’information ont été fragilisés. La stratégie du cloud au centre, associée à des outils tels que le SecNumCloud, permet d’accéder à des savoirs et des compétences devenus clés aujourd’hui, et que peu d’entreprises sont capables d’offrir.

Enfin la lutte contre l’application des lois extraterritoriales contraires aux lois européennes est également une opportunité. Si de nombreux critères du SecNumCloud sont techniques (processus, back-up, tests, etc.), celui de l’application exclusive du droit européen est le premier critère juridique exigé. Un critère non technique mais néanmoins désormais considéré comme une mesure essentielle de cybersécurité.

La cybersécurité ne se négocie pas, tant elle est devenue critique.

Nous sommes au début des processus de qualification. A nous, éditeurs français qui traitent des données sensibles, de nous emparer du SecNumCloud pour en faire un nouvel atout dans la bataille planétaire que nous livrons.