shocky - Fotolia

Scaleway entre dans le processus de qualification SecNumCloud

Plus d’un an après avoir annoncé sa volonté d’obtenir la qualification, Scaleway entame officiellement son parcours SecNumCloud. En matière de souveraineté, la filiale cloud du groupe Iliad se veut plus respectueuse du cahier des charges de l’ANSSI que ses concurrents.

En octobre 2023, le fournisseur cloud avait annoncé débuter le programme de qualification SecNumCloud. La filiale du groupe de Xavier Niel a (enfin) obtenu le jalon 0. Dans le jargon de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), cela veut dire que son dossier a été accepté après une phase de validation en ligne.

En clair, Scaleway a pris son temps. En revanche, il semble que la procédure soit plus courte qu’auparavant. Le fournisseur anticipe d’obtenir la qualification avant la fin de l’année 2025. Il avait déjà obtenu les badges ISO 27001 et HDS (Hébergeur de Données de Santé) en juillet dernier. Des procédures qui lui ont vraisemblablement permis de mettre au clair – techniquement et administrativement – les prérequis à l’obtention accélérée du visa SecNumCloud.

Plus souverain que les autres clouds souverains

« L’ANSSI a initié l’instruction du cadre de l’offre [Scaleway Cloud], ainsi qu’une première analyse portant sur le respect de processus et de principes de sécurité structurés et avancés, la garantie d’immunité face aux lois extraterritoriales, l’application de principes de traçabilité et la conformité au niveau d’exigence requis pour les secteurs les plus sensibles (santé, données sensibles du service public, etc.) », assure Scaleway.

Le fournisseur dit avoir tous les éléments pour respecter la conformité SecNumCloud. Il exploiterait des technologies uniquement open source « sans dépendance [à] des éditeurs tiers » et disposerait de centres de données en France « au capital 100 % détenu par des Européens ». Au sein du groupe Illiad, c’est l’entité OpCore qui les opère.

Ces deux éléments ne sont pas anodins. Clairement, Scaleway entend se distinguer d’OVHcloud qui a déjà une offre SecNumCloud – basée sur des technologies VMware. Au passage, la filiale du groupe Iliad se démarque des joint-ventures portés d’un côté par Thales et Google Cloud – avec S3NS, qui prévoit d’obtenir son logo SecNumCloud en juin) – et de l’autre, par Orange, Capgemini et Microsoft – avec Bleu. Chez Scaleway, pas de dépendances américaines… hormis les équipements.

Par ailleurs, « 100 % des collaborateurs, capitaux et impôts de Scaleway sont localisés en Europe, tandis que notre sourcing responsable privilégie les fournisseurs locaux », ajoute-t-il.

Jusqu’alors, Scaleway misait sur la parité technologique avec les géants du cloud. Désormais, il semble aussi affirmer « plus souverain que moi, tu meurs ».

Un candidat de plus ?

D’autres acteurs souhaitent obtenir le précieux sésame. C’est le cas de NumSpot, le fournisseur d’une PaaS issu du rapprochement de la Banque des territoires, de Docaposte, de Dassault Systèmes et de Bouygues Telecom.

Si ce dernier compte qualifier sa PaaS, il doit d’abord auditer l’infrastructure IaaS. Le seul acteur ayant pour l’instant obtenu la qualification SecNumCloud pour sa PaaS n’est autre que Cloud Temple.

Il faut aussi noter l’obtention du visa de sécurité par Cegedim pour son offre CegNum Cloud Secured IaaS. Le groupe a l’ambition d’offrir le même niveau de service qu’un Scaleway, OVHcloud ou un Cloud Temple.

L’ensemble des acteurs entend équiper les services de l’État concernés par la stratégie Cloud au Centre ainsi que les opérateurs d’importance vitale ou des acteurs qualifiés d’entités essentielles ou importantes.

Pour approfondir sur IaaS