[MàJ] SecNumCloud : le jalon J0 a été validé « sans réserve » de l’ANSSI, confirme Bleu
Qualif à la place de Qualif
![[MàJ] SecNumCloud : le jalon J0 a été validé « sans réserve » de l’ANSSI, confirme Bleu](https://next.ink/wp-content/uploads/2024/01/Bleu.webp "[MàJ] SecNumCloud : le jalon J0 a été validé « sans réserve » de l’ANSSI, confirme Bleu")
Après S3ns (Thales et Google), c’est au tour d’un autre « cloud de confiance » basé sur des services étasuniens de passer le jalon J0 de la qualification SecNumCloud : Bleu (Orange, Capgemini et Microsoft). Le processus doit encore durer une année.
Mise à jour du 15 mai. Bleu nous a confirmé que la validation du jalon J0 s’est faite sans réserve de la part de l’ANSSI.
L’annonce de Bleu, un « cloud de confiance » d’Orange et Capgemini, a été faite en 2021, avec Microsoft (Azure et 365) comme partenaire technologique. Les activités commerciales ont pour leur part débuté en janvier 2024. En septembre, Bleu présentait ses « 12 premiers partenaires de services » et visait un dépôt de son dossier de la qualification SecNumCloud par l’ANSSI pour la fin de l’année.
SecNumCloud : Bleu valide le jalon J0, la route est encore longue
Aujourd’hui, Bleu (détenue à 100 % par Capgemini et Orange) vient de passer une étape importante, même si la route est encore longue : « le franchissement du jalon J0 ». La co-entreprise en profite pour en faire des tonnes.
« Ce jalon atteste de la maturité de la solution cloud que nous développons. Nos équipes et nos partenaires sont pleinement mobilisés pour mettre à disposition nos services et atteindre la qualification SecNumCloud dans les meilleurs délais », affirme ainsi Jean Coumaros, président de Bleu.
Bleu « vise la qualification de ces services pour le premier semestre 2026 ».
C’est quoi ce jalon J0 ?
L’AFNOR rappelle de son côté que le jalon préalable J0 ne concerne que « la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0 ». Il y a ensuite J1, J2 et J3 à passer.
L’ANSSI ajoute néanmoins que « dès son entrée officielle dans le processus de qualification SecNumCloud (reconnue par un courrier de l’ANSSI à l’entreprise annonçant « le jalon J0 »), toute entreprise pourra évoquer publiquement la démarche en cours ». Et, si elle le souhaite, elle peut apparaitre sur la liste de l’ANSSI des prestataires en cours de qualification. Pour le moment, ce n’est pas encore le cas.
Bien évidemment, le jalon J0 n’est pas suffisant pour « utiliser le logo du Visa de sécurité ANSSI ni afficher la qualification SecNumCloud tant qu’elle n’aura pas officiellement obtenu la qualification SecNumCloud ». L’Agence de cybersécurité ajoute que « tout communiqué de presse évoquant le processus de qualification SecNumCloud de l’ANSSI devra préalablement être partagé à [ses services] pour validation ».
Datacenters en France, 130 employés pour l’instant
Bleu en profite pour rappeler que ses services « sont hébergés dans ses datacenters, en Ile-de-France et dans le sud de la France. Ces services sont pilotés par du personnel de Bleu, depuis ses centres opérationnels ouverts à Paris et Rennes ».
130 personnes sont actuellement employées, avec l’objectif d’atteindre les 200 à la fin de l’année.
S3ns a passé le J0 en juillet 2024 « sans réserve »
Son concurrent S3ns, avec Thales et Google à la manœuvre, a passé le « jalon 0 » de la qualification ANSSI en juillet dernier, avec une finalisation espérée durant l’été 2025. C’est dans le délai moyen d’un an après un jalon J0.
Le service presse de Thales nous avait alors confirmé que, « à ce stade, il n’y a pas de réserve à avoir de la part de l’ANSSI et l’agence n’en a pas émise ». Même chose chez Bleu qui nous confirme avoir « validé le passage du J0 sans réserve ».
Cette notion est importance, comme le rappelle l’ANSSI. Franchir le jalon J0 avec des réserves signifie en effet que « l’ensemble des critères d’acceptation […] sont respectés, mais l’ANSSI estime qu’un jalon de la qualification ne peut a priori pas être franchi ou que les coûts et délais nécessaires pour atteindre la qualification sont très importants ».
Commentaires (5)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 17/04/2025 à 12h07
- Est-ce que la situation a évolué (peut-être sur le plan réglementaire) pour suivre l'évolution politique ou bien est-ce que c'est tellement un mastodonte que c'est pas le moment de déplacer la cible ? (i.e. changer les exigences de certif ou le processus). L'article semble suggérer que non.
- Est-ce que les sujets d'actualité de l'année dernière sur la surveillance et la controlabilité des paquets de mises à jours sont traités? (i.e. que la NSA ne fasse pas secrètement rajouter à Google et Microsoft une backdoor ou une exfiltration de données comme leur loi nationale l'y autorise)
Le 17/04/2025 à 13h55
Dans les faits, je ne vois pas trop comment une vrai évaluation est possible vu l'ampleur du recettage que ça impose, la validation va être rapide je suppose.
Sortit de là je prends les paris que l'appel d'offres promis par la ministre pour le HDH va désigner bleu comme prestataire. Et donc ce ne sera pas vraiment plus sur niveau accès des US aux données, mais plus cher !
Le 17/04/2025 à 14h10
Le 17/04/2025 à 17h21
Le 17/04/2025 à 17h07
On n’est pas à l’abri de recommencer les mêmes erreurs…