Accueil Cybersécurité Les offres de cloud public de S3ns (Thales + Google) pas certifiées...

Les offres de cloud public de S3ns (Thales + Google) pas certifiées SecNumCloud avant 2024… comme Bleu

Thales et Google Cloud ont officialisé ce 30 juin 2022 la création de S3ns, société qui portera les offres de Cloud public « souveraines » de Google en France, ainsi que l’ouverture de la première région cloud française de l’opérateur cloud américain. Google a-t-il fait une erreur en devenant actionnaire de S3ns, ce que n’a pas fait Microsoft dans le consortium Bleu ?

Après Bleu (Orange, Capgeminini et Microsoft) la semaine dernière, c’est au tour de Google Cloud d’annoncer ce 30 juin ses offres de cloud public « souveraines » avec Thales, partenariat dévoilé en octobre 2021.

Elles seront portées par S3ns, leur nouvelle co-entreprise, qui « disposera d’un catalogue de services de cloud public Google Cloud qui deviendra exhaustif progressivement. La région France et S3ns héritent donc des mêmes services que les autres régions déjà déployées en Europe Google Cloud » explique Anthony Cirot, le directeur général en France de Google Cloud.

Mais ses clients devront attendre mi-2024 pour avoir accès aux services de Cloud public certifiés SecNumCloud par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Si S3ns parvient à décrocher la V3.2 de cette certification technique réputée difficile à avoir, et dont le processus prend deux ans en moyenne. Même quand le candidat dispose des moyens techniques et financiers nécessaire.

Franck Zerbib, le directeur technique de Google Cloud en France se dit confiant dans l’obtention de la certification SecNumCloud : « les équipes de Thales et de Google Cloud sont en contact avec l’Anssi et elles lui ont déjà soumis des éléments pour son audit de validation des services Cloud de S3ns ».

Google Cloud a-t-il fait une erreur en devenant actionnaire de S3ns ?

Certes, mais l’Anssi ne risque-t-elle pas de tiquer sur le fait que Google est actionnaire de S3ns ? Contrairement à Microsoft, qui a eu l’intelligence de ne pas devenir actionnaire du consortium Bleu afin de ne pas semer de confusion lors du lancement de ses offres de Cloud « souveraines ». « Ainsi, les données de ses utilisateurs dans notre Cloud ne tombent donc pas sous le coup de lois étrangères sur l’extra territorialité au niveau juridique », nous avait expliqué Bernard Ourghanlian, directeur Technique et Sécurité de Microsoft France.

Anthony Cirot ne pense pas que cette participation, dont il ne communique pas le chiffre exact, pose problème. Selon lui, les plateformes techniques de S3ns sont certes opérées par Google Cloud, mais sa société détient moins de 24 % du capital de S3ns, une entreprise de droit français dirigée par Cyprien Falque (Thales) et présidée par Walter Cappilati (Thales Services Numériques), et qui se veut indépendante. En fait, son niveau de participation serait plus proche de 10 %.

Google Cloud se dit compatible avec les exigences « souveraines » des Autorités françaises

Le directeur général en France de Google Cloud n’a pas cité ce chiffre de 24% au hasard. En effet, il s’agirait du maximum autorisé par l’Anssi pour permettre à une société cloud étrangère de décrocher sa précieuse certification dans sa V 3.2. Par ailleurs, la « Doctrine Cloud au Centre » du gouvernement recommande d’utiliser un cloud public de confiance et encadre aussi, enfin, l’utilisation de prestataires ou de services Cloud non européens.

Dans sa règle (R9), la Doctrine établie fin 2021 par la Direction interministérielle du numérique (Dinum) précise que pour un système numérique qui manipule des données sensibles, le recours à une offre cloud commerciale est possible uniquement si cette offre est qualifiée SecNumcloud et qu’elle est immunisée contre les réglementations extracommunautaires », dont les Cloud ou Patriot Acts américains par exemple.

Google Cloud se dit également compatible avec les exigences des Autorités françaises en matière d’hébergement et de souveraineté Numérique. Les applications et les données des clients français de S3ns sont hébergés dans l’Hexagone dans 3 datacentres en colocation répartis en Ile-de-France, chez Equinix et Interxion très probablement. Franck Zerbib a précisé que ces sites disposent contractuellement d’une zone dédiée et qu’ils sont isolés des autres clients de ces colocataires. Ils sont situés également à proximité des datacentres français que Google louent également à des colocateurs, les mêmes sans doute, afin de faciliter la maintenance des serveurs, toujours dans le respect des exigences de l’Anssi semble-t-il.

« Thales répond aux attentes de ses clients »

A la question de savoir pourquoi Thales, un industriel français dont l’État est actionnaire, signe un partenariat d’une telle importance dans le cloud public avec un Gamma comme Google, et non avec OVHcloud, notre champion européen, la responsable de la communication de Thales nous a expliqué que « Thales répond ainsi aux attentes de ses clients et nous avons déjà un partenariat avec OVHcloud dans le cloud », mais pas de cette ampleur, loin s’en faut.
 
David Chassan, directeur de la stratégie de 3DS Outscale, la filiale cloud de Dassault systèmes, doute que toutes les entreprises préfèrent Google Cloud à OVHCloud en matière de Cloud “souverain” : « Les DSI ne sont pas naïfs. Comment un décideur informatique, qu’il soit en entreprise ayant une activité stratégique ou un acteur public engagé dans la politique Cloud au centre, peut-il considérer ces solutions comme “de confiance”. Ces effets d’annonces arrivent à l’heure où de nombreux acteurs technologiques français de très haut niveau soutenaient leurs dossiers à la BPI sur l’appel à manifestation d’intérêt “France 2030” du gouvernement, qui vise à développer une suite bureautique cloud, collaborative et souveraine. Réjouissons-nous, soutenons et utilisons notre écosystème technologique français et européen qui est foisonnant à l’image d’Hexatrust.