Alors que la polémique sur le cloud « souverain » bat toujours son plein en France, surtout après l’annonce en octobre du partenariat dans le cloud « souverain » entre Thales et Google Cloud, l’Anssi a annoncé le 13 octobre qu’elle durcit actuellement son référentiel SecNumCloud.
Invité à ouvrir les débats lors de la session 2021 des Assises de la Cybersécurité à Monaco, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a annoncé le 13 octobre que son agence durcissait actuellement SecNumCloud. son référentiel lui permettant de certifier les produits et services Cloud compatibles avec la doctrine Cloud au centre de l’État.
« SecNumCloud est un succès » s’est félicité en préambule Guillaume Poupard. « Mais l’Anssi est en train de durcir, ou plutôt de clarifier actuellement ce référentiel sur un point très précis, celui de la notion de souveraineté en termes juridiques. Nous avons besoin de préciser davantage qui est souverain en France et selon quels critères. Des lois non européennes, dont celles des Etats-Unis et de la Chine, dont les acteurs sont aussi en train d’arriver., ne doivent pas permettre d’accéder à nos données. A charge pour nous de fixer nos règles ». Pour faciliter sa tache, l’Anssi publie demain 14 octobre un appel public à commentaires. Selon ceux qui ont déjà vu les modifications, le nouveau formulaire inclurait des questions relatives aux pays d’origine, à sa composition capitalistique, etc., et surtout, il demande sa dépendance à des lois non européennes, du type Patriot Act.
L’Anssi ne doit-elle labelliser que des acteurs français alors ?
Non selon Guillaume Poupard, qui se déclare d’ailleurs très satisfait quand des acteurs français sont qualifiés pour recevoir sa labellisation SecNumCloud, et surtout quand ils travaillent ensemble… « Pour autant, on ne peut pas dire que toutes les offres cloud et cyber labellisées ne peuvent être que françaises ; l’important est de s’assurer que la technologie utilisée est bien maîtrisée et dans de bonnes conditions, avec un niveau de sécurité de bon niveau garanti par SecNumCloud, afin de créer des solutions de confiance. Toutefois, j’ai conscience que nous marchons alors sur une ligne de crête concernant ce sujet… ».
L’Anssi bataillera pour que la certification de niveau élevée soit adoptée au niveau européen
Guillaume Poupard reconnaît au passage l’importance de porter la notion de souveraineté à l’échelle européenne. Il précise que lors de la présidence française de l’Europe, le Gouvernement bataillera pour que la certification de niveau élevée, qui protège les données très sensibles, soit adoptée au niveau européen afin de les protéger contre les législation non européennes extra territoriales. « Est-ce que l’Europe aura la force ou la volonté de le faire ? Ce serait une catastrophe absolue si elle ne le faisait pas en recommandant une solution qui ne protégerait pas suffisamment les données en Europe. De plus, cela risquerait de nous faire de perdre 10 ans ».