Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

SecNumCloud : Scaleway passe J0 « sans aucune réserve » et vise une qualification fin 2025

SecNumCloud : Scaleway passe J0 « sans aucune réserve » et vise une qualification fin 2025

Flock

Scaleway annonce à son tour avoir franchi le jalon J0 de la certification SecNumCloud. Ce n’est « qu’une » étape de validation du projet, les choses sérieuses vont maintenant commencer avec l’ANSSI. Scaleway s’attend à obtenir la qualification d’ici la fin de l’année. Plusieurs autres fournisseurs de cloud sont déjà certifiés ou en cours de certification.

Le 13 janvier à 10h21

L’année dernière, Scaleway obtenait la certification HDS (Hébergeur de Données de Santé) par le BSI Group, pour le compte de l’Agence du Numérique en Santé. En fin de semaine dernière, la filiale d’iliad annonçait « son entrée dans le processus de qualification SecNumCloud ».

J0 à J3 : la qualification SecNumCloud en quatre étapes

L’entreprise explique avoir validé le jalon « J0 », lui permettant d’entamer « la démarche officielle auprès de l’ANSSI ». Comme le rappelle l’Afnor, cette étape confirme simplement « la validation par l’ANSSI d’un dossier de candidature ». C’est ensuite que les choses sérieuses commencent, avec notamment l’audit sur site par les équipes de l’Agence nationale de la sécurité des systèmes d'information.

Il y a quatre étapes dans le processus SecNumCloud :

  • J0 : acceptation de la demande de qualification
  • J1 : acceptation de la stratégie d’évaluation
  • J2 : acceptation des travaux d’évaluation
  • J3 : décision de qualification

Scaleway : 100 % européenne, la stack logicielle développée en interne

Scaleway rappelle que les données de ses clients ne sont hébergées que dans des datacenters européens. « 100 % des collaborateurs, capitaux et impôts de Scaleway sont par ailleurs localisés en Europe », ajoute l’entreprise.

« Notre stack logicielle, conçue et développée en interne à l’aide de composants open source, garantit une autonomie totale, protégeant contre les risques tarifaires ou juridiques imposés par des acteurs non-européens. Ce modèle nous permet de conserver une maîtrise complète de la technologie », affirme l’entreprise dans son communiqué.

Le chemin est encore long, d'autant que l’ANSSI va maintenant venir mettre les mains dans le cambouis interne de Scaleway. Une fois le jalon J0 passé, il est généralement admis qu’il faut une année pour finaliser la qualification, si tout se passe bien. Scaleway semble miser là-dessus et « vise une qualification à fin 2025 ».

Jalon validé « sans aucune réserve »

La décision d’acception du dossier par l’ANSSI (jalon J0) peut être assortie ou non de réserves. La différence est importante : les réserves signifient que « l’ensemble des critères d’acceptation […] sont respectés, mais l’ANSSI estime qu’un jalon de la qualification ne peut a priori pas être franchi ou que les coûts et délais nécessaires pour atteindre la qualification sont très importants ».

Contacté par Next, Scaleway nous affirme que « le dossier a été déposé début octobre et l'accord a été obtenu fin décembre, sans aucune réserve ». « Les produits Scaleway remplissaient déjà tous les critères nécessaires pour être acceptés dans ce processus, et nous n’avons pas créé de gamme spécifique "SecNumCloud" », ajoute la société.

S3NS, Bleu, NumSpot… : d’autres sont sur la piste du SecNumCloud

D’autres « cloud » sont aussi dans le processus de certification, dont S3NS, la coentreprise de Thales et Google. Elle a passé le « jalon 0 » en juillet dernier. Thales prévoyait alors « une qualification à l’été 2025 ».

Le « cloud souverain » français de NumSpot (Docaposte, la Banque des Territoires, Dassault Systèmes et Bouygues Telecom) est aussi sur les rangs, mais le jalon J0 ne semble pas encore avoir été validé. En novembre, les acteurs indiquaient que « le dépôt du dossier de demande de qualification sur le périmètre de la plateforme cloud de NumSpot a été réalisé en septembre 2024 ».

Il y a également le cas de Bleu, par Orange et Capgemini avec un « cloud de confiance » basé sur Microsoft Azure et 365. Il y a quelques mois, l’entreprise expliquait que le dépôt de son dossier J0 était « prévu d’ici à la fin de l’année », mais nous sommes sans nouvelle depuis.

Qui est qualifié SecNumCloud ? Qui est en cours de qualification ?

La liste des entreprises certifiées (et des offres concernées) SecNumCloud se trouve par ici. On y retrouve des services de Cegedim, Cloud Temple, Index Education (Pronote), Oodrive, Outscale, OVHcloud, Whaller et Worldline.

Certaines sont presque arrivées à la date de fin de qualification (valable trois ans) : le 22 janvier 2025 pour Oodrive, le 15 mars pour Cloud Temple et le 31 mars pour Worldline. Oodrive a ainsi un niveau de recommandation « critique », contre « modéré » pour Worldline et CloudTemple. Toutes les autres sont « optimal ».

L’ANSSI propose aussi une liste des prestataires en cours de qualification, du moins ceux qui « ont accepté de rendre publics » cette information. On y retrouve Ecritel, Free Pro, GIP Mipih, Orange Business, OVHcloud pour son Baremetal Pod (IaaS), Scaleway Cloud (IaaS et PaaS), SFR Business et enfin Thales.

Commentaires (11)

votre avatar
Keuwah ? Vous osez dire qu'il existe des Cloud Providers en France ? Fake news ! :cartonrouge:

Blague à part, c'est bien de le rappeler. J'en ai marre de voir du GCP pulluler partout comme la peste (quand c'est pas Azure ou AWS).
votre avatar
Je comprenais pas GCP , après recherche GCP :
Google Cloud Platform
(jet là je me suis dit, mais c'est biensur :roll: , je me suis senti sun peu C...) :non:
votre avatar
Oui bien vu, habitude d'utiliser l'abréviation.
votre avatar
De mémoire, il y a un ancien de NextInpact qui y bosse chez Scaleway.
votre avatar
Tu ne confonds pas avec clever cloud ?
votre avatar
Yep, David est chez Clever en effet :)
Personne chez Scaleway (à ma connaissance)
votre avatar
Scaleway, c'est pas eux qui avaient dit se retirer de Gaïa-X et refuser les certifications inutiles ? De mémoire, Yann Lechelle disait un truc du genre : Cloud Act et les offres américaines font flotter un risque juridique permanent (accès direct aux données, risque de suspension de licence ou de changement de prix et transferts de données intempestifs). SecNumCloud ne résout pas le problème de confiance et ne lève pas le risque c'est une certification inutile.

Mais je me trompe certainement.
votre avatar
Au lieu de lire "jizéro" j'ai lu JO.
Quel est le rapport avec les jeux olympiques ?
Un zéro, çà se barre noudidiou !! :D
votre avatar
La même:D
votre avatar
Arf, moi j'avais traduit par Journal Officiel
votre avatar
Oui aussi, mais habitant lutèce et avec "qualification" dans le titre... je suis resté trauma de cet été :)
(Surtout d'avoir vu notre bonne maire se laver le derche dans une seine nettoyée à 4,5 milliards de pesos et vu le tarif de stationnement de 6h pour un SUV passer à 225€)

SecNumCloud : Scaleway passe J0 « sans aucune réserve » et vise une qualification fin 2025

  • J0 à J3 : la qualification SecNumCloud en quatre étapes

  • Scaleway : 100 % européenne, la stack logicielle développée en interne

  • Jalon validé « sans aucune réserve »

  • S3NS, Bleu, NumSpot… : d’autres sont sur la piste du SecNumCloud

  • Qui est qualifié SecNumCloud ? Qui est en cours de qualification ?

Fermer