SecNumCloud : pour l’ANSSI, « rien ne s’oppose » à la qualification de Bleu et S3ns

« Quand les poules auront des dents »

Vincent Strubel, directeur général de l’ANSSI, était auditionné la semaine dernière par une Commission d’enquête du Sénat sur « les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française ».

Sébastien Gavois

Le 03 juin à 11h30

8 min

Sécurité

C’était surtout l’occasion de parler cybersécurité, qualification SecNumCloud et souveraineté. Voici ce qu’il faut retenir de cette audition d’un peu plus d’une heure, riche en enseignements.

SecNumCloud est « un ensemble cohérent et indissociable »

Il reste 92% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (11)

simon2cyrene Abonné

Le 03/06/2025 à 12h05

L’ANSSI « fait le pari » que la société française ne se pliera pas aux exigences étrangères.

Et si elle a des intérêts commerciaux dans le pays requérant ? Exemple : OVH. Si les autorités US leur tordent le bras en menaçant de représailles sur le marché américain, ils seront peut-être plus enclins à coopérer.

simon2cyrene Abonné

Le 03/06/2025 à 12h11

Pour Vincent Strubel, « dès lors qu'une technologie Microsoft, Google ou autre est hébergée par un acteur européen, nous pensons que ça offre un bon niveau de garantie sur le fait que cet acteur ne soit pas soumis sans voie de recours au droit américain, à l'exclusion du droit européen ».

D'un point de vue juridique, peut-être, mais pour avoir la garantie que rien n'est envoyé aux US, il faudrait déjà savoir ce qui tourne sur l'infra. Tout est open source chez Microsoft et Google ?

SebGF Abonné

Le 03/06/2025 à 12h20

Vsphere n'est pas open source à ma connaissance, pourtant ça fait parti de l'offre secnumcloud d'ovh avec le bare metal.

SebGF Abonné

Le 03/06/2025 à 12h11

La nuance entre le prestataire de la solution technique et l'hébergement physique de celle ci est effectivement importante.

Par contre ça demande aussi de bien auditeur la solution pour s'assurer qu'elle ne capte pas des données à l'insu de l'hébergeur.

Thoscellen Abonné

Le 03/06/2025 à 12h25

On a donc Bleu et "Stroisns". Pour ce dernier c'est Google ou Thales qui a eu l'idée ?

---

Plus sérieusement, comment on est sûr que les "technologies" (logiciels ? matériels ? plans ?) ne contiennent pas des portes dérobées ? C'est auditionné, libre de droits ?

SebGF Abonné

Le 03/06/2025 à 13h55

Cf mon précédent commentaire.

Si le hardware peut être difficilement vérifié (comment contrôler que le firmware du proco Intel ou AMD ne contient pas une porte dérobée ?) c'est tout l'implem qui doit être contrôlée. On vérifie les entrées et sorties et on limite la surface d'attaque.

(attention, logiciel libre != libre de droits)

Un peu de lecture si jamais

Thoscellen Abonné

Le 04/06/2025 à 15h27

Un peut une approche en mode boite noire. Pk pas.

SebGF Abonné

Le 04/06/2025 à 15h54

C'est pas vraiment ce qu'indique le référentiel SecNumCloud pour moi.

Dude76 Abonné

Le 03/06/2025 à 13h22

« Quand les poules auront des dents »

Mais les poules ONT des dents !

iridium77 Abonné

Le 05/06/2025 à 12h44

Et si la lois change et parle des techno en plus des données?

the_Grim_Reaper Abonné

Le 10/06/2025 à 15h35

Alors, on parle facilement du droit extra territoriale pour les société US (et chinoises ou britanniques), soit, mais du point de vue US, le fait de détenir la (bi-)nationalité implique de se plier aux mêmes règles qu'une entreprise.

En clair, sur S2ns et Blue, les enquêtes au moment des recrutements devraient être assez intrusive et complètes pour s'assurer que la (futur) salarié ne subira pas de pression directe ou indirecte facilement identifiable d'un état étranger.

Que l'infra soit verrouillée soit, si l'admin se plie aux injonctions US bah, désolé, mais ça fout tout le château de carte au sol