Cloud de confiance : S3NS lancera sa procédure SecNumCloud en juin
S3NS, la joint-venture de Thales et de Google Cloud, lance enfin son processus de qualification SecNumCloud pour son cloud de confiance au mois de juin. Elle espère obtenir le précieux sésame à l'été 2025.
Comme l’a déjà indiqué Challenges dans un article publié le 14 mai, S3NS se prépare à déposer son dossier de candidature à la qualification SecNumCloud auprès de l’ANSSI pour son cloud de confiance. Une annonce également effectuée sur la scène du Google Cloud Summit France.
« Nous avions pris des engagements vis-à-vis du marché et de vous [les clients] de proposer avec Thales une solution SecNumCloud. À partir du mois de juin, nous allons lancer le premier jalon de cette certification », déclare Anthony Cirot, vice-président EMEA Sud chez Google Cloud.
Cette étape, nommée « jalon 0 » consiste à remplir un formulaire de demande en ligne qui sera validée par l’ANSSI. S’ensuit le recours au service d’un auditeur qualifié PASSI. Après un dialogue avec les responsables de S3NS, l’auditeur établit la stratégie d’évaluation, c’est le jalon 1. L’évaluation elle-même, réalisée sur site, correspond au jalon 2.
« Dans cette certification, il y a deux phases d’audit. Il y aura un premier audit qui va inspecter l’infrastructure, c’est-à-dire le cloud de S3NS qui est basé sur les technologies Google Cloud. Ensuite, il y a un second audit qui s’intéresse aux données clients réelles de production. À l’issue de ce second audit, nous comptons obtenir la qualification SecNumCloud », informe Anthony Cirot.
L’auditeur effectue un rapport soumis à validation de l’ANSSI lors d’une réunion formelle. Si l’ensemble des critères de qualification sont respectés, alors l’ANSSI octroie le précieux sésame, et autorise le fournisseur à afficher un « visa de sécurité ». Le jalon 3.
Entre la soumission du dossier et la qualification, il s’écoule « douze à dix-huit mois environ », précise le vice-président EMEA Sud. S3NS espère effectuer l’audit au premier semestre de l’année prochaine et arborer son visa à l’été 2025. La joint-venture prévoit de qualifier un périmètre IaaS et PaaS basé sur les technologies de Google Cloud, mais entièrement géré par une société de droit européen (cf. le référentiel SecNumCloud 3.2).
Pas de retard à noter, affirment Thales et Google
« Il n’y a aucun changement de calendrier », assure Anthony Cirot. « Nous sommes très satisfaits du travail réalisé par les équipes de Thales et de Google Cloud. Nous sommes réellement “on track” pour délivrer la promesse qui a été faite à la Maison de la Mutualité il y a deux ans [le 30 juin 2022, N.D.L.R.] ».
Pour rappel, un an et quatre mois après l’annonce du partenariat entre Google et Thales en octobre 2021, S3NS a d’abord lancé, en février 2023, une offre de « contrôles locaux », consistant à chiffrer des données localisées sur la région cloud public française de GCP ouverte en juin 2022 avec des systèmes (dont des HSM) gérés indépendamment par Thales et à offrir un support effectué par des employés européens de GCP parlant français.
En juin 2022, Google et Thales avaient précisé qu’ils fourniraient au « deuxième semestre 2024 un cloud visant la qualification SecNumCloud », basé sur trois zones de disponibilité propre à S3NS (avec des data centers localisés en France et gérés par Thales) et s’appuyant sur les équipements et les logiciels fournis par Google Cloud. Une affirmation renouvelée en février 2023. Au lancement du partenariat, les deux acteurs espéraient proposer ce cloud « visant la qualification SecNumCloud » à la fin de l’année 2022.
« C’est tout de même une première mondiale », défend Yannis Crevoisier, Chief Operating Officer chez S3NS, auprès du MagIT qui évoque « seulement deux mois de retard » au regard du planning officiel présenté en juin 2022. « La promesse est d’avoir un cloud de confiance qui soit le plus proche possible des niveaux de service de GCP. C’est très compliqué à obtenir », assure-t-il.
« Il faut savoir que chez Google, il y a plusieurs dizaines de “changes” par seconde. Donc, un modèle purement ITIL ne fonctionne pas, il faut quelque chose de différent », poursuit-il.
« Nous avons travaillé avec l’ANSSI pendant deux ans pour expliciter nos méthodes d’inspection, les contrôles des mises à jour qui proviennent de Google Cloud et que l’on souhaite transférer aux environnements S3NS ».
Zone de quarantaine
Plus spécifiquement, S3NS a mis en place des « Trusted Services », un environnement CI/CD servant à inspecter les modifications du code source des services GCP. Une fois les modifications envoyées par GCP, elles sont installées dans une « zone de quarantaine », un environnement « totalement isolé » du futur cloud de confiance S3NS. Elles seront ensuite inspectées avant leur mise en production dans les trois data centers S3NS en France.
« Le référentiel technique de l’ANSSI est extrêmement exigeant concernant le modèle de cloisonnement du système d’administration par rapport aux instances des clients », affirme Victor Vuillard, Chief Security Officer chez S3NS. Ce système d’administration est géré en interne par S3NS sur les infrastructures de Thales.
Victor VuillardCSO, S3NS
« Nous tirons profit de l’expertise de Thales en matière de cybersécurité, en particulier sur la maîtrise des mises à jour composées par Google. Nous effectuons du reverse engineering, des analyses de comportement au niveau système, réseau et matériel. Puis, nous avons accès au code de GCP afin d’effectuer des audits ciblés si nous détectons ce qui nous semble être des anomalies », précise-t-il.
L’objectif est de déployer les mises à jour à la même vitesse que Google Cloud. « Google Cloud effectue des mises à jour en permanence, mais les déploiements complets sur ses 40 régions prennent environ 15 jours. Nous allons essayer de suivre ce même rythme, en incluant cinq à six jours de vérification intensifs », détaille Yannis Crevoisier.
« Cela veut dire qu’un client, qui a des données sensibles hébergées chez S3NS et des données non sensibles sur le cloud public, a exactement le même service, avec les mêmes SLA, avec les mêmes API, avec les mêmes façons de déployer, etc. », renchérit Victor Vuillard.
Un défi qui mobiliserait « plusieurs milliers d’ingénieurs » chez GCP. « C’est le deuxième projet le plus important chez Google après l’IA », déclare Yannis Crevoisier. S3NS aurait déjà recruté une centaine de collaborateurs.
Toutefois, le périmètre de services de ce cloud de confiance sera limité. Comme la qualification SecNumCloud est renouvelée tous les ans, l’autre défi est d’ajouter un maximum de services IaaS et potentiellement PaaS avant l’obtention du visa de sécurité. « C’est un véritable défi d’intégrer la majorité des briques fondamentales d’entrée de jeu », répète le COO.
Au mois d’octobre 2024, les premiers clients triés sur le volet pourront accéder au périmètre de cloud voué à la qualification SecNumCloud. Une deuxième vague de clients devrait accéder à ce cloud de confiance en décembre, selon Yannis Crevoisier. S3NS devrait proposer des services « hors du IaaS » et jusqu’au PaaS au début de l’année 2025. Un périmètre incluant des services accessibles aux futurs clients de l’offre cloud de confiance de S3NS existe déjà sous la forme d’un (grand) environnement de test mis sur pied par Google et Thales.
Ensuite, il faudra intégrer les éditeurs tiers dans la partie. Si la solution est de niveau PaaS et que S3NS la gère, alors cela ne devrait pas poser de problème outre mesure. En revanche, les discussions vont bon train afin de trouver une solution pour accueillir des logiciels SaaS.
Les « contrôles locaux » dessinent une « trajectoire SecNumCloud »
En attendant, selon S3NS, l’offre « contrôles locaux » a déjà attiré « plus de 25 clients », dont Matmut, Veolia Birdz, Vyv, le Club Med, AG2R La Mondiale, ou encore le groupe d’assurance AGPM.
Dans le cadre d’une transformation d’envergure de ses SI, planifiée sur six ans – 600 millions d’euros sur la table, 80 % des systèmes concernés – AG2R La Mondiale a entamé une migration vers le cloud GCP. Pour autant, le groupe IARD souhaite obtenir une maîtrise complète de ses données.
Stéphane LapierreDSI Digital, Data et Relation client, AG2R La Mondiale
« Tous les ans, nous avons une nouvelle réglementation qui s’impose à nous. Nous avons donc zéro compromis à faire sur la sécurité et la continuité d’activité », affirme Stéphane Lapierre, DSI Digital, Data et Relation client chez AG2R La Mondiale, lors du keynote principal de Google Cloud Summit France. « C’est pour cela que l’alliance de Google avec Thales qui a donné S3NS, en ce qui nous concerne, permet d’exploiter la puissance de GCP et ses services de gestion de données managés dans un univers sécurisé français, dans une trajectoire SecNumCloud. Et ça, c’est extrêmement rassurant pour nous ».
L’offre « contrôles locaux » sera donc, pour AG2R La Mondiale, un tremplin vers la solution de cloud de confiance de S3NS.
« Pratiquement tous les clients de l’offre “contrôles locaux” ont un intérêt pour le cloud de confiance », assure Yannis Crevoisier. « Ils ont adopté notre première offre parce qu’ils doivent également se former à la gestion du chiffrement et à la localisation des données. De notre côté, cela nous permet de préparer un ensemble de procédures avant l’arrivée de l’offre cloud de confiance ».
Pour rappel, les acteurs français 3DS Outscale et OVHcloud ont déjà obtenu la qualification SecNumCloud pour certaines de leurs instances bare-metal, tandis qu’elle couvre l’offre IaaS de Cloud Temple. Bleu – la joint-venture de Capgemini, Orange et Microsoft – prévoit de lancer son offre de cloud de confiance en 2025. « Les schémas de résilience sont différents. Le niveau de pertinence et de scalabilité est un peu différent », répond le COO. « C’est bon signe. Je pense que le nombre d’acteurs en présence démontre qu’il y a un marché qui est là et qui est vivant ».