On le sait, infrastructures Cloud et télécoms sont dans le viseur des services de renseignement internationaux. Dans ce cadre, privilégier les solutions souveraines visées par l’ANSSI semble le dernier rempart de l’entreprise pour protéger ses données.
Tout l’écosystème IT français garde encore en tête l’échec du Cloud souverain lancé par le gouvernement Fillon en 2009. Initiative lancée trop tôt, échec du modèle public/privé sur le marché ultra concurrentiel du Cloud, le scandale des écoutes de la NSA, les suspicions autour des équipements de télécommunications d’origine chinoise ou encore le vrai/faux scandale des puces d’écoute dissimulées sur les serveurs SuperMicro ont bien montré le problème de sécurité posé par l’absence de maîtrise de solutions conçues à l’étranger.
La qualification ANSSI, une garantie de confiance pour un produit
Outre les installations Cloud elles-mêmes, se pose aussi la question de la sécurité des solutions qui peuvent embarquer des backdoors ou même jouer le rôle de mouchard pour un gouvernement tiers. Le rôle de l’ANSSI est clé en France avec ses visas de sécurité accordés aux solutions qualifiées par l’agence française de la cybersécurité. Une centaine de certificats sont décernés chaque année avec un large catalogue de solutions concernées, depuis le chiffrement jusqu’aux outils de protection réseau, système, poste de travail, etc. Lors de la récente qualification des sondes de sécurité de Gatewatcher et de Thales, Pierre Jeanne, directeur technique du projet Cybels Sensor chez Thales soulignait : « la qualification d’une solution par l’ANSSI est à la fois une garantie de robustesse et d’efficacité d’une solution. L’entreprise est assurée que le produit est, au niveau sécurité, souveraineté et confiance, garanti par l’agence à la suite d’un processus d’évaluation extrêmement rigoureux. »
Outre ce processus de qualification qui n’est pas réservé aux fournisseurs français, le groupement Hexatrust regroupe les PME et ETI du secteur cyber français.
Un choix reposant sur des critères techniques
« Une entreprise doit avant tout choisir une solution performante, innovante et qui réponde à son besoin » explique Jean-Noël de Galzain, président d’Hexatrust. « Solution française ou pas, le choix doit se faire sur ces critères techniques auxquels il faut ajouter le niveau de support et service délivré en France. Au travers d’Hexatrust nous avons constitué un catalogue de solutions “de confiance” qui permettent d’assurer la protection de la transformation digitale des entreprises. »
Si le Cloud hybride s’impose comme le modèle dominant des systèmes d’information d’entreprise, seule une forte maîtrise des briques de sécurité permettra aux entreprises d’en garder le contrôle.
Alexandre Morel,
directeur marketing en charge de la stratégie
de Scaleway (Groupe Iliad)
Scaleway :
rehausser le niveau de sécurité des datacenters
« Notre but n’est pas de nous différencier sur la souveraineté, même si nos datacenters sont majoritairement installés en France. Avec le rachat du groupe Jaguar-Network, nous sommes passés à 7 datacenters en France, mais notre priorité reste aujourd’hui de travailler à rehausser le niveau de sécurité de ces datacenters, notamment accroître la sécurité physique des bâtiments avec une protection périmétrique, la surveillance des installations, etc.
Outre ce volet physique, nous faisons évoluer notre stratégie contre les cyberattaques. Nous travaillons beaucoup sur l’application des normes de sécurité ISO, normes Tier II, III, IV, ainsi que des normes métier comme HDS (Hébergeur de données de santé) que nous avons décrochée en janvier 2019. Enfin, nous introduisons l’IA pour analyser les trafics réseaux et identifier des comportements anormaux afin d’en alerter nos clients. Notre prochain événement ScaleDay sera l’occasion pour nous d’en dire plus quant à notre offre “SOC as a Service” en cours de test. »