S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Vincent Strubel (ANSSI) tient à rappeler ce qu’est vraiment SecNumCloud

Piqûre salutaire

Vincent Strubel (ANSSI) tient à rappeler ce qu’est vraiment SecNumCloud

Alors que les débats autour de la souveraineté numérique sont particulièrement vifs cette année, la qualification SecNumCloud, délivrée par l’ANSSI, revient souvent sur la table. Le directeur de l’agence, Vincent Strubel, a tenu à rappeler les forces et limites du label.

Le 07 janvier à 11h04

Le directeur de l’Agence nationale de la sécurité des systèmes d’information a pris la plume ce 6 janvier sur LinkedIn. Objectif : refaire un tour d’horizon de ce qu’est et n’est pas la qualification SecNumCloud (SNC pour les intimes). Il estime en effet que des « incompréhensions persistantes » gravitent autour de SecNumCloud, remises en lumière par l’obtention récente du label par S3NS sur son offre hybride.

Immunité aux lois étrangères et au kill switch

Il rappelle ainsi que la qualification SNC est un processus long et exigeant, avec de multiples facettes (1 200 points de contrôle) et qui s’applique de la même manière à tous les candidats. Les garanties apportées sont techniques, juridiques et organisationnelles. La qualification a en outre été pensée pour les usages sensibles du cloud, pas pour les solutions standards.

La protection contre la portée extraterritoriale des lois étrangères (les lois américaines Cloud Act et FISA sont citées) est l’aspect le plus souvent discuté. Plusieurs critères sont imposés : le siège social du prestataire et sa capitalisation doivent être européens, les sous-traitants et fournisseurs ne doivent jamais avoir accès aux données des clients, et il doit prouver une autonomie complète dans l’exploitation de sa solution.

SecNumCloud immunise également contre le « kill switch », « celui de voir des prestataires non européens contraints de couper le service qu’ils fournissent à certains de leurs clients, en fonction de sanctions ou de restrictions d’exportations imposées par le pays d’origine de ces prestataires », explique Vincent Strubel. Le directeur de l’ANSSI mentionne à ce sujet le cas emblématique des magistrats de la Cour Pénale Internationale. Ici, le prestataire européen n’est pas tenu de donner suite à une telle injonction.

Il y a quelques temps, Vincent Strubel rappelait à juste titre que la protection contre les lois extraterritoriales est « souvent ce que l’on retient, mais au final, ça ne représente qu’une page dans les 55 du référentiel, sans même parler de toutes les annexes et les documents auxquels ils renvoient ».

La qualification n’est pas une barrière absolue

En revanche, la qualification n’est pas une protection absolue pour tous les scénarios. Surtout, comme le rappelle le directeur, elle ne signifie pas une absence de dépendances : « Une qualification SecNumCloud ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s’appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers ».

S’il pointe que des offres hybrides comme Bleu et S3NS sont « sans doute » plus exposées à ce risque, le choix n’est pas binaire. Ainsi, toutes les offres de cloud dépendent d’une manière ou d’une autre de technologies non européennes. Il peut s’agir aussi bien de la partie logicielle (systèmes d’exploitation, bases de données, couches d’orchestration…) que de la partie matérielle (CPU, GPU…). L’open source peut jouer « indiscutablement » un rôle dans l’émancipation, sans être « pour autant la panacée » : « aucun acteur, État ou entreprise, ne maîtrise entièrement, et ne peut prétendre forker et maintenir en autarcie toute la stack technologique du cloud », indique Vincent Strubel.

Pour le directeur de l’ANSSI, il est « évident » que priver l’Europe de l’accès à la technologie américaine ou chinoise entrainera nécessairement un « problème global de dégradation du niveau de sécurité en l’absence de mises à jour, dans le cloud comme ailleurs ». Ce problème ne concerne pas que les offres hybrides, pas même uniquement le cloud. D’ailleurs, il estime que la montée en compétence dans la capacité européenne à exploiter des technologies américaines « est en soi un progrès dans la prise en compte des dépendances ».

Sans le dire explicitement, Vincent Strubel semble regretter cependant que la plupart des débats tournent autour de la partie juridique et de l’extraterritorialité des lois. Il rappelle que les cyberattaques restent « la menace la plus tangible » sur le cloud et que SecNumCloud impose de fortes contraintes, que ce soit sur l’architecture ou les caractéristiques techniques. On retrouve par exemple le cloisonnement fort entre clients, chaine d’administration et supervision, la gestion sécurisée des mises à jour ou encore le chiffrement systématique des données, aussi bien en transit qu’au repos.

Il ajoute à cela la dimension humaine, en rappelant que le référentiel SNC « consacre un chapitre entier aux ressources humaines du prestataire ». En plus d’exigences techniques pour garantir qu’aucun employé n’est en mesure de porter une atteinte grave sans être détecté, la qualification prend en compte l’éventuelle coopération d’employés dans un objectif malveillant, que ce soit « par corruption, contrainte ou infiltration ».

« Un outil de cybersécurité, pas de politique industrielle »

Enfin, dans une petite FAQ en fin de billet, le directeur de l’ANSSI aborde deux questions importantes. SecNumCloud est-il un label de souveraineté ? Pas de réponse définie, la « souveraineté » n’ayant pas de définition unique… et c’est peu de le dire. La qualification permet au moins de se pencher sur les aspects cybersécurité et extraterritorialité, et influe en partie sur le choix des technologies. « Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, « souveraines », et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », indique Strubel.

En revanche, SecNumCloud est « un outil de cybersécurité, pas de politique industrielle ». Il n’en naitra donc pas « des solutions alternatives ou des briques technologiques maîtrisées pour résoudre toutes les questions de dépendances », avertit le directeur.

Quant à savoir si les offres hybrides qualifiées offrent le même niveau de garantie que les autres, il répond clairement : « Oui ». Un fournisseur comme S3NS « n’est pas forcément en mesure d’assurer la maintenance dans la durée de sa solution s’il est privé de tout accès à la technologie non européenne, mais les offres « non hybrides » sont également soumises à ce risque fondamental, même si leurs dépendances peuvent être moindres, plus réparties ou plus complexes à identifier ».

Ce sujet de la « durée de vie » des systèmes en cas de coupure nette, nous en avions parlé avec Bleu et S3NS. Les deux pensent pouvoir tenir au moins plusieurs mois avec des plans de réversibilité. Si nous devions en arriver à une telle situation, cela signifierait qu’il y aurait des problèmes bien plus importants avec Microsoft, ainsi qu’entre la France et les États-Unis, nous expliquait Bleu récemment.

Commentaires (20)

votre avatar
Se mettre à l'abri des lois extra-territoriales c'est déjà pas mal. Quant à la techno, je pense qu'avec des mesures de sécurité (chiffrement, logiciel non proprio par des boîtes US, pas de cloud US etc...), on peut raisonnablement se dire qu'on est à l'abri.

Il existera toujours des activités qui doivent tout anticiper et éviter à tout prix toute dépendance à un pays étranger, même et surtout les USA, mais j'ose espérer que le SecNumCloud n'est pas dans leur scope.
votre avatar
"Se mettre à l'abri des lois extra-territoriales c'est déjà pas mal."

Sauf que, lorsque beaucoup s'en contrefoute, en particulier Trump, je ne vois pas en quoi SecNumCloud protège de quoi que ce soit.

Si Trump impose un blocage des solutions cloud Microsoft sous peine de sanctions, Cap Gemini & Thales ne feront probablement que carpette… d'autant plus quand on voit la réaction de Macron suite à l'attaque sur le Venezuela…
votre avatar
Cela n'aurait pas de rapport avec la protection contre les lois extra-territoriales des USA. Comme indiqué dans l'article, une solution à base de techno US peut certes être interdite par les US, mais les solutions SecNumCloud auraient probablement 6 mois de tranquillité.

C'est quand même dommage de ne pas avoir lu l'article pourtant très clair sur ce qu'inclut SecNumCloud et sur ce qu'il n'inclut pas et de commenter à côté.

Il s'agit de sécurité des données hébergées, pas de continuité du service à long terme.
votre avatar
Si Trump demande à Cap ou Thales les données hébergées chez S3ns ou Bleue en s'appuyant sur une loi sortie du chapeau (comme pour le Venezuela) , pas sûr qu'ils puissent refuser.

Bref, la protection de Secnumcloud vis à vis des produits US n'engage que ceux qui y croient…
votre avatar
C'est beau d'être un meilleur expert que le patron de l'ANSSi !

Et je me retiens très fort de demander de quelle loi il s'agit pour le Venezuela !
votre avatar
Je me suis trompé, ce n’est pas une loi mais une « doctrine ».

L’article de franceinfo qui en parle.
votre avatar
Si nous devions en arriver à une telle situation, cela signifierait qu’il y aurait des problèmes bien plus importants avec Microsoft, ainsi qu'entre la France et les États-Unis, nous expliquait Bleu récemment.
Vu l'actualité géopolitique, autant dire que ça ne devrait pas trop tarder, je pense...

Le rappel sur ce qu'est SecNumCloud est tout de même appréciable, j'ai souvent l'impression de voir du fantasme autour alors que ça repose sur des principes au contraire terre à terre.
votre avatar
Bien que ça me ferait plaisir de voir Trump donner l'ordre de couper MS pendant une journée (ou même GitHub ou Gitlab), en pratique ça n'arrivera pas. Parce que l'impact financier que ça aurait sur MicroSoft sera dévastateur. Toute l'Europe en serait affecté, santé, banque, industrie... Bref un beau carnage, qui fera perdre toute confiance dans Microsoft et ses produits, et dans le monde entier. Et ce n'est pas sans risque que l'action Microsoft chute violemment dans la foulée, et qu'elle entraîne avec elle d'autres effets (un début de panique sur les marchés US, la bulle IA qui tousse méchamment...). A mon avis, Vance, Rubio et les autres signaleront à Trump que ce n'est pas une bonne idée, et de ne surtout pas le faire.
votre avatar
Quand on réfléchi raisonnablement, on est conscient de tous ces risques. Oui.

Sauf que, pour le moment, l'histoire contemporaine me laisse à considérer que Trump est tellement imprévisible qu'il faut systématiquement anticiper le pire avec lui. Les seules fois où il a reculé, c'est quand les marchés se sont effondrés après la mise en place de ses mesures.

Mon expérience m'a appris qu'il ne faut jamais sous estimer la connerie humaine.

Surtout quand la dite connerie est en train de répéter le 20ième siècle.
votre avatar
cela signifierait qu’il y aurait des problèmes bien plus importants avec Microsoft
Le gars était en train de dormir dans une grotte pendant ces 25 dernières années ?
votre avatar
As-tu compris le contexte de cette citation et ce qu'elle exprime ?
votre avatar
Oui, je sais lire, merci.
votre avatar
Merci beaucoup pour l'article. C'était très intéressant.
votre avatar
L’open source peut jouer « indiscutablement » un rôle dans l’émancipation, sans être « pour autant la panacée » : « aucun acteur, État ou entreprise, ne maîtrise entièrement, et ne peut prétendre forker et maintenir en autarcie toute la stack technologique du cloud »

OK, mais au moins tu peux faire ce fork à l'instant T si besoin, chose impossible sans opensource.

Perso j'ai pris l'habitude de ne plus cloner direct de github sur les projets qui m'intéressent mais d'utiliser forgejo sur un serveur perso et de configurer un sync régulier depuis github.
Vu le nombre de repo qui passent en archive (voire en 404) ces derniers temps ça me permet de garder un snapshot récent des repo, juste au cas où. Et le process de synchro avec l'upstream est finalement très peu décalé dans le temps.
votre avatar
Si les US demandent à Github et Gitlab de bloquer les pays européens, et aux projets open-source de virer tous les contributeurs européens (comme les contributeurs russes ont déjà été exclus du noyau Linux), je donne pas longtemps avant qu'on aie de gros problèmes. Au moins aussi gros que si les US demandent à Google, Meta, Microsoft et Amazon de faire de même.

On résisterait peut-être quelques mois avec un clone type Software Heritage ou ta technique du mirroir Forgejo, mais pas plus longtemps. Les mises à jour de sécurité sont aussi très importantes.
En ce sens, si S3NS et Bleu sont capable de tenir quelques mois sans mises à jour mais pas plus, c'est également le cas pour les stacks basées sur l'open-source.
votre avatar
Pas entièrement d'accord.

Avec les VPN on pourra passer une géo-restriction des IP. Les développeurs et mainteneurs pourront redéployer en Europe. Et c'est sans compter sur les développeurs d'ailleurs qui pourront nous envoyer des patches et autres.

A mon humble, à part ralentir significativement les projets qui en dépendent (Go, Rust, Python ?) les autres projets auront le temps de tenir. Et puis, les entreprises qui dépendent des solutions open-sources devront embaucher pour maintenir ces librairies. Ce qui n'est pas forcément un mal en soi.
Là, où ça va piquer c'est qu'on a pas vraiment de GitHub/Gitlab à l'échelle de l'EU. Il y a certes CodeBerg mais ce n'est pas tailler (et le temps de scaler) pour supporter subitement un afflux massif de nouveaux projets.
votre avatar
Là, où ça va piquer c'est qu'on a pas vraiment de GitHub/Gitlab à l'échelle de l'EU. Il y a certes CodeBerg mais ce n'est pas tailler (et le temps de scaler) pour supporter subitement un afflux massif de nouveaux projets.

Pour moi c'est presque un mal pour un bien.
Centraliser tout sur 2 plateformes , c'est certes très pratique , ça incite à certaines habitudes de travail , mais c'est aussi prendre un risque , ne serait-ce que technique. Et il y a aussi des tas de scripts & automatisation qui dépendant de ces 2 plateformes (exemple avec vscode, ou encore github avec son binaire "gh" pour "simplifier" git).

L'existante même de github rends inutile et inhibe la volonté (et le financement) de créer en Europe une alternative, mais devant la nécessité d'une alternative rapide on a les compétences et les infra pour ça . Si on accepte de s'en donner les moyens (et donc de raquer)
votre avatar
Si les USA montre des actions hostiles de ce type - que ce soit par les GAFAM ou les sociétés moins connues, je préfère encore avoir des clones de repos que rien du tout - même plus mes propres fichiers.

Alors oui on va perdre beaucoup de chose : Tickets, revues, processus ...
Mais au moins on saurait repartir.

Les mises à jour c'est important, mais si les américains coupent les accès aux serveurs de Google pour le playstore & tout, on va pas revenir au 18ème siècle sous prétexte que les téléphones peuvent plus se mettre à jour et s'assoir par terre en priant le dieu orange de bien vouloir nous pardonner.

Oui, il faudra remonter des équipes , et obliger les entreprises utilisatrice à mettre plus largement la main à la pâte mais au moins ce sera possible , bien que houleux pendant longtemps.

Accessoirement, et comme dans toute dérive fasciste les Américains sont majoritairement effarés et stupéfaits de cette dérive rapide, et la violence de la répression intérieure n'a d'égale que les tentatives discrète de résistance. Je serait étonnés que sur certains projets réellement opensource les contributions s'arrêtent net (je ne parle pas des logiciels opensource portés par des sociétés , qui ont plus ou moins rapidement vocation à se refermer comme minio récemment par exemple)
votre avatar
Excellent article, j'ai appris plein de choses sur un domaine dont j'ignorais quasiment tout. Merci.
votre avatar
Merci pour cette synthèse qui permet d'y voir un peu plus clair.

Pour info une autre série d'articles en cours de publications sur Linkedin par Victor Vuillard le CTO CSO de S3NS apportent aussi un éclairage sur la mise en œuvre des exigences SecNumCloud vue de l'intérieur.

Les dettes technologiques et industrielles obligent à bien des contorsions quand on se veut souverain.