S3NS annonce l’obtention de la qualification SecNumCloud
La filiale cloud de Thales bâtie avec le concours de Google Cloud vient d’obtenir sa qualification SecNumCloud 3.2 pour l’offre PREMI3NS. Le sésame couvre en une seule fois des services IaaS, PaaS et CaaS. Une décision inédite de la part de l’ANSSI.
C’était imminent. En octobre, la filiale cloud de Thales fondée en 2022 avec Google Cloud avait annoncé la disponibilité générale de PREMI3NS, des services IaaS, PaaS et CaaS candidates à la qualification SecNumCloud 3.2. Cela lui permet de fournir un « cloud de confiance ».
S3NS rejoint ainsi OVHcloud, Outscale, Cloud Temple, Wordline et Orange Business Services sur la liste des hébergeurs listés l'ANSSI.
Avant le mois d’octobre, S3NS proposait un service de chiffrement externalisé, désormais nommé CRYPT3NS.
S3NS avait prévu d’obtenir la qualification SecNumCloud d’ici à la fin de l’année 2025. C’est chose faite depuis hier. Une qualification qui couvre bien, en une fois, les trois niveaux de services cloud IaaS, PaaS et CaaS. S3NS est le seul acteur du marché à cocher ces trois cases. Une décision inédite de la part de l’ANSSI, qui jusqu’alors, avait répondu à des demandes portant sur des offres IaaS de la part de fournisseurs qui ont tenté d’obtenir le précieux label pour ensuite qualifier des offres PaaS. Seul Cloud Temple l’avait obtenu. Il faut dire que le partenaire de Thales, Google Cloud, y a mis les moyens en matière d’ingénierie.
Une stratégie de qualification inédite
« Saluons la capacité de Google Cloud à avoir mobilisé des milliers d’ingénieurs pour adapter la technologie GCP afin qu’elle puisse être opérée de manière indépendante en dehors de Google. Ce que fait S3NS ici est une première mondiale », vante Victor Vuillard CTO et CSO de S3NS, sur LinkedIn.
« Plus de 150 jours d’audit techniques dont [une bonne partie] par un prestataire qualifié PASSI par l’ANSSI, 2 mois en continu d’évaluation sur site, un rapport de 1089 pages, un travail important de l’ANSSI pour vérifier que S3NS a démontré aux évaluateurs la bonne réponse à chaque point de contrôle, à chaque exigence du référentiel », ajoute-t-il.
Par ailleurs, l’agence atteste que le service « offre une protection vis-à-vis du droit extraeuropéen ». « S3NS est une société de droit français entièrement contrôlée par Thales », assure le communiqué accompagnant l’annonce, malgré la participation au capital de Google.
Lors d'une audition devant la commission d’enquête sénatoriale sur la commande publique le 28 mai dernier, Vincent Strubel, directeur général de l’ANSSI a déclaré que, du fait leur montage capitalistique, Bleu et de S3NS sont « conformes, sur le papier, aux exigences du SecNumCloud ». Et d’assurer que, d’après les analyses en droit demandé par l’ANSSI, ces offres sont en principe immunes au Cloud Act et FISA Act.
Ici, les mises à jour poussées par Google Cloud sont d’abord vérifiées dans une « zone de quarantaine », isolée du cloud de GCP et S3NS avant d’être poussées vers ce dernier quand les vérifications sont faites.
Les clouds sont-ils tous exposés au droit extraterritorial américain ?
Reste la dépendance technologique aux éditeurs américains. « C’est un autre sujet. L’on n’est plus dans le champ d’application du SecNumCloud », affirmait Vincent Strubel. « Et ce n’est pas un sujet spécifique à Bleu ou S3NS : dans un cloud français, vous avez aussi de la technologie américaine ». Il citait en exemple les impacts du changement tarifaire de VMware sur les fournisseurs de cloud français. Par exemple, OVHcloud a renouvelé ses engagements auprès de la filiale de Broadcom pour répondre à la demande de ses clients.
Sylvain Rutten, consultant chez NextHop et ancien responsable du pôle infrastructure cloud et sécurité chez DocaPoste, émet des doutes concernant cette dissociation entre exposition aux droits extraterritoriaux américains et dépendance technologique pure. « L’histoire du droit extraterritorial montre que la dépendance technique peut suffire à entraîner une compétence juridictionnelle étrangère, surtout dans un contexte où les États-Unis considèrent l’accès potentiel comme équivalent à l’accès effectif », écrit-il dans une longue analyse publiée en juin.
Selon une analyse juridique effectuée par l’Université de Cologne au profit du ministère fédéral de l’Intérieur allemand, les services de type EU Sovereign Cloud proposés en propre par les hyperscalers et les fournisseurs européens ayant une présence ou « des liens » aux États-Unis seraient exposés aux lois américaines.
La décision de l’ANSSI est valable trois ans. Dans son avis, I’agence rattaché au cabinet du Premier ministre soulève peu de réserves. Elle encourage seulement le respect des recommandations présentes en annexe 2 de la qualification SecNumCloud 3.2. Par exemple, le document rappelle qu’un prestataire tel que S3NS (Thales Cloud sécurisé) peut vendre des services non qualifiés qu’il ne faut pas confondre avec ceux validés par l’ANSSI.
De même, la qualification ne « remplace pas les exigences légales ou spécifiques » (données de santé, diffusion restreinte, etc.). S3NS indique qu’il est en processus de qualification pour l’obtention des marqueurs ISO27001 et HDS (Hébergeur de données de santé).
Des services essentiels « équivalents » à ceux proposés sur GCP
Pour l’instant, S3NS a mis en place trois data centers interconnectés en Île-de-France comptant plus de 10 000 équipements informatiques, principalement des serveurs, des baies de stockage, des switchs réseau et des GPU Nvidia H100. Cela lui permet d’offrir une région avec trois zones de disponibilité.
L’analyse de l’ANSSI porte sur les services de réseau (Cloud VPN, Cloud Interconnect, Cloud DNS, VPC), le IAM, le chiffrement, le WAF Cloud Armor, les machines virtuelles Compute Engine (dont certaines propulsées par des H100), un service de stockage en bloc (Hyperdisk), le service de stockage objet Cloud Storage, Google Kubernetes Engine (GKE), le DBaaS Cloud SQL (PostgreSQL, MySQL, SQL Server), le service orienté événements Pub/Sub et l’entrepôt de données BigQuery.
Selon une notion « d’équivalence », S3NS ne reprend pas, donc, tout le portefeuille de Google Cloud. Et il existe des différences de fonctionnalités en la version des services proposés par GCP et celles hébergées par S3NS. Sans trop de surprise, il manque « de nombreuses connexions externes » au sein de BigQuery qui peut habituellement être relié à Azure et à AWS. Plus surprenants, le masquage des données et le contrôle des accès au niveau des colonnes ne sont pas disponibles, selon la documentation publique.
Avec GKE, il faut se contenter du mode autopilot, des machines C3 et A3, ainsi que du stockage persistant. La sauvegarde n’est pas encore disponible et le service prend en charge les dernières versions en date de Kubernetes (1.28 à 1.34, ce qui n’est pas une mauvaise chose, mais c’est à noter dans le cadre d’une migration).
Le fournisseur « continuera d’étoffer » son offre « au cours des prochains mois », en commençant par l’intégration des solutions d’intelligence artificielle générative rassemblées dans le catalogue Vertex AI. En toute logique, il faudrait attendre une révision de la qualification pour que les solutions d’IA soient qualifiées SecNumCloud. Pour l’instant, il faut se passer de la suite collaborative Workspace.
Les éditeurs tiers suivront. Certains dont Fivetran se sont engagés à prendre en charge CRYPT3NS. Comme GitLab, Mistral AI, Elastic, C3ai, dqe, CraftAI, Dakto, Memority, InteractSoftware, Lumapps, Cloudera, Red Hat, Confluent et Rackware, le spécialiste l’intégration de données est « sur la trajectoire de PREMI3NS », indique un porte-parole de S3NS.
Devoteam, Sfeir, Sopra Steria, Deloitte, Onepoint, Thales, Atos, Crayon, Theodo et Accenture sont de la partie pour les offres d’intégration et de services.
Une trentaine de clients « pionniers »
Certaines entreprises et organisations publiques françaises n’ont pas attendu la qualification pour adopter les services de S3NS. Rappelons que l’ANSSI exige que les environnements candidats au SecNumCloud soient utilisés par quelques clients avant de délivrer la qualification.
MGEN, la Matmut, AGPM, Thales, Birdz (une filiale de Veolia), Qonto, BConnect, le Club Med font partie de la trentaine de « clients pionniers » recensés par S3NS. EDF a également fait part de sa décision d’opter pour l’offre PREMI3NS, en sus de Bleu, la co-entreprise d’Orange et de Capgemini qui s’appuie sur les technologies Microsoft. Celle-ci n’a pas encore obtenu sa qualification SecNumCloud. Une vingtaine d’autres comptes ont déjà adopté CRYPT3NS. Au total, S3NS revendique une cinquantaine de clients.
S3NS n’évoque pas les tarifs de ses services dans sa documentation, mais un porte-parole confirme qu’ils seront 15 à 20 % supérieurs à ceux pratiqués par Google Cloud. NumSpot, qui prépare activement la qualification SecNumCloud pour sa PaaS, s’attend à pratiquer un surcoût similaire par rapport à la grille tarifaire d’Outscale. Cela semble être un pourcentage standard sur le marché.
Pour approfondir sur Réglementations et Souveraineté
-
![]()
NumSpot veut désormais fournir une PaaS hybride et multicloud
Par: Gaétan Raoul
-
![]()
SecNumCloud : la sécurité physique, un volet incontournable selon NumSpot
Par: Gaétan Raoul
-
![]()
SecNumCloud 3.2 : Cloud Temple étend le périmètre de son cloud de confiance
Par: Gaétan Raoul
-
![]()
Cloud : S3NS arrivera en fin d’année
Par: Stéphane Larcher
