A l’heure où la protection des données est devenue une priorité stratégique pour les entreprises et les organisations, la migration vers le cloud pose la question de la robustesse, de la fiabilité et de la confiance des fournisseurs de services. Cette problématique est d’autant plus importante pour les organisations traitant des données sensibles ou stratégiques, exposées à des risques majeurs en cas de failles de sécurité. Face à ces défis, deux concepts émergent : le cloud souverain et le cloud de confiance. Bien que souvent confondus, ils recouvrent des réalités distinctes et répondent à des besoins différents.
Florian Bertrand, Avant-vente chez NumSpot, un cloud français qualifié SecNumCloud, explique les différences entre les 2 clouds pour les lecteurs de Solutions numériques & cybersécurité.
Cloud souverain signifie-t-il cloud de confiance ?
Si être souverain est une condition indispensable pour être « de confiance », elle est pourtant insuffisante. Le concept de cloud souverain renvoie à la notion de protection contre les lois extraterritoriales, qui est essentielle quand il s’agit de gérer les données. Un prestataire souverain doit tout d’abord répondre à des exigences structurelles : son siège, son capital, et les droits de vote au sein de l’entreprise doivent être majoritairement contrôlés en France. Cette souveraineté permet de protéger les données sensibles en assurant une sécurité juridique pérenne. Pour autant, cela ne suffit pas à être qualifié de cloud de confiance.
En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a développé la qualification SecNumCloud. Ce référentiel énonce un ensemble de règles de sécurité technique, organisationnelle et juridique, que les fournisseurs de cloud doivent respecter. Ainsi, leurs solutions sont identifiées comme étant robustes, fiables et surtout de confiance.
De plus, la qualification SecNumCloud est un prérequis indispensable pour répondre aux exigences de la doctrine « cloud au centre » de l’État, concernant les administrations et entreprises hébergeant des données sensibles et stratégiques. Le meilleur moyen de garantir la protection de ces données est de faire appel à un fournisseur de cloud de confiance qualifié SecNumCloud.
Au-delà de la sécurité des données sensibles, le cloud de confiance assure également la continuité des activités grâce à la redondance et la réplication des données. Dans le cas d’une cyberattaque au sein d’une entreprise par exemple, une perte de service peut entraîner des conséquences économiques lourdes, porter atteinte à sa crédibilité ou détériorer fortement son image. C’est pourquoi, la notion de résilience est essentielle dans le choix d’un fournisseur cloud.
Peut-on désormais parler de cloud de confiance ?
Pour passer du statut de cloud souverain à celui de cloud de confiance, il faut donc compléter la sécurité technique et la souveraineté avec une sécurité organisationnelle et contractuelle. Le fournisseur de services cloud a l’obligation de mettre en place une politique de sécurité des systèmes d’information en adéquation avec les règles d’hygiène énoncées par l’ANSSI. Il est également primordial que l’humain reste au cœur de cette politique de sécurité. A ce titre, des formations à la protection des données et aux risques cyber doivent être dispensées régulièrement au personnel du fournisseur de cloud de confiance.
Pour passer du statut de cloud souverain à celui de cloud de confiance, il faut donc compléter la sécurité technique et la souveraineté avec une sécurité organisationnelle et contractuelle.
Ce niveau d’exigence nécessite des moyens importants pour être maintenu sur le long terme. D’autant plus que les politiques de sécurité SecNumCloud sont auditées chaque année par l’ANSSI et par des prestataires d’audit de la sécurité des systèmes d’information (PASSI).
Vers une adoption croissante du cloud de confiance
Les fournisseurs de service cloud sont de plus en plus nombreux à souhaiter être « de confiance » en obtenant la qualification de l’ANSSI bien que peu le soient actuellement.
Cette accélération se traduit aussi par une volonté croissante des éditeurs de faire appel à des fournisseurs d’infrastructures de confiance qui leur apportent le plus haut niveau de sécurité. Ils pourront ainsi bénéficier d’une sécurité maximale et faciliter l’application des différentes réglementations, dont NIS2 et DORA pour ne citer qu’elles.
Si le cloud souverain est une condition sine qua non pour atteindre le niveau d’un cloud de confiance, il ne suffit pas à garantir le plus haut niveau de sécurité requis. La qualification SecNumCloud s’impose aujourd’hui comme la référence pour les institutions et entreprises soucieuses de protéger leurs données sensibles et stratégiques et incarne la meilleure garantie possible en matière de cloud de confiance. En s’appuyant sur des fournisseurs de confiance, les entreprises délèguent le maintien en condition de sécurité et le maintien en condition opérationnelle à des acteurs reconnus, recommandés et audités par l’ANSSI. L’externalisation d’un système d’information vers un service cloud de confiance permet ainsi d’accélérer la transformation numérique des acteurs confrontés à une forte sensibilité des données en optimisant les coûts de fonctionnement, les ressources et en favorisant la mise en conformité réglementaire. Ils peuvent ainsi opérer leur service dans une véritable bulle de confiance et concentrer leurs efforts sur leur cœur de métier.