SecNumCloud : S3NS (Thales/Google) passe le « jalon 0 » de la certification ANSSI, sans réserve

Depuis l’annonce de S3NS, un cloud « à la française » avec les services de Google Cloud sur des serveurs de Thales, l’entreprise met en avant sa volonté d’être certifiée SecNumCloud. Elle vient de passer le premier jalon j0, qui atteste simplement que son dossier est conforme. Plusieurs autres étapes restent à franchir. Thales espère y arriver pour l’été 2025.

Dans un communiqué de presse, l’entreprise commune entre Thales et Google – mais « entièrement contrôlée par Thales » – annonce avoir franchi la première étape dans sa demande de certification SecNumCloud : « le dossier pour l’entrée dans le processus de qualification SecNumCloud de sa solution "cloud de confiance" a été accepté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ». La première étape d’un long processus à venir.

Premier jalon sur les quatre à franchir

Le processus de qualification complet comporte quatre jalons, rappelle l’ANSSI :

• J0 : acceptation de la demande de qualification
• J1 : acceptation de la stratégie d’évaluation
• J2 : acceptation des travaux d’évaluation
• J3 : décision de qualification

Lors du premier jalon (J0), « le commanditaire constitue un dossier de demande de qualification conforme […] qu’il transmet à l’ANSSI, qui désigne alors un chargé de qualification ». Ce jalon 0 est franchi pour l’ANSSI « lorsque l’ensemble des critères d’acceptation de la demande de qualification […] sont respectés ». Il ne s’agit pas encore pour l’Agence de mettre les mains dans le « cambouis ». Le formulaire se trouve par ici.

S3NS a dû détailler ses réseaux et son système d’information

En plus des demandes de renseignements assez classiques (présentation générale, commanditaire, informations de contact…), il est précisé dans l’annexe 3 la liste des pièces à fournir.

Elle comprend notamment un dossier et un schéma d’architecture du système d’information du service visant la qualification. On doit y retrouver les points d'interconnexions, les réseaux et sous-réseaux, les équipements de sécurité (filtrage, authentification, chiffrement) et les serveurs hébergeant des données ou assurant des fonctions sensibles. La liste des sous-traitants est aussi demandée.

Si S3NS communique officiellement, c’est que l’ANSSI le permet : « Dès son entrée officielle dans le processus de qualification SecNumCloud […], toute entreprise pourra évoquer publiquement la démarche en cours ».

Notez qu’elle n’est pas la seule à avoir validé ce jalon 0 et à continuer dans les étapes de qualification, loin de là. Cegedim.cloud, Free Pro, Index Education, Orange Business, SFR Business et Whaller sont aussi en cours de qualification, selon l’ANSSI.

D’autres peuvent l’être, car il faut que le participant accepte que son processus soit rendu public pour figurer sur la liste de l’ANSSI. Notez au passage que la liste des produits déjà certifiés SecNumCloud se trouve par là. On y retrouve des services de Secure Temple, d’Index Education, (Pronote, EDT…), d’Oodrive, d’Outscale, d’OVH et de Worldline.

Des réserves ou non ? That is the question…

La décision d’acception de la demande de qualification peut prendre deux formes : avec ou sans réserve. Dans le premier cas, « l’ensemble des critères d’acceptation […] sont respectés, mais l’ANSSI estime qu’un jalon de la qualification ne peut a priori pas être franchi ou que les coûts et délais nécessaires pour atteindre la qualification sont très importants ».

L’ANSSI précise que, lorsqu’une décision d’acceptation avec réserve est prononcée, « le service obtient le statut "en cours de qualification" mais n’est pas inscrit dans le catalogue des services en cours de qualification ». S3NS de Thales n’y figure pas, mais la dernière mise à jour de la page date du 17 mai 2024 et Thales pourrait très bien demander à ne pas y figurer. Impossible en l’état d’en tirer des conclusions.

Nous avons demandé à Thales si son dossier était assorti de « réserves » par l’Agence nationale de la sécurité des systèmes d’information. Le service presse nous répond que, « à ce stade, il n’y a pas de réserve à avoir de la part de l’ANSSI et l’agence n’en a pas émise ».

S3NS : trois datacenters parisiens, des services de Google Cloud

S3NS est pour rappel une « solution, hébergée dans trois datacenters en région parisienne, sécurisée physiquement et logiquement, opérée et administrée par S3NS, qui analysera en continu les mises à jour de Google Cloud ».

Dans le détail, ce n’est pas toujours aussi simple face à la déferlante de mises à jour de Google : « Non, on ne vérifie pas l’ensemble du code », reconnaissait Ivan Maximoff, responsable de la sécurité des systèmes d'information (RSSI), lors des Assises de la cybersécurité de Monaco.

• Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »

S3NS espère une certification durant l’été 2025

S3NS en profite pour indiquer que « dès décembre 2024, des premiers clients “early adopters” seront en mesure de déployer des applications existantes sur le cloud ». C’est un peu en retard par rapport au calendrier initial qui prévoyait le deuxième trimestre 2024.

Mais attention, ce service ne sera pas certifié SecNumCloud, puisque Thales prévoit « une qualification à l’été 2025 », soit dans un an. Les « early adopters » devraient néanmoins pouvoir en profiter rapidement après l’obtention du précieux sésame… à condition qu’aucun grain de sable ne vienne gripper les engrenages.

• « Cloud de confiance » S3ns (Google et Thales) : Latombe dénonce « une tentative d’enfumage »