mehaniq41 - stock.adobe.com

Actualites

Cloud de confiance ou « d’obéissance » ? L’ANSSI clarifie les « dépendances »

L’obtention par S3NS, la coentreprise Thales-Google, de la qualification SecNumCloud a fait couler beaucoup d’encre. Suffisamment pour que Vincent Strubel en personne, directeur général de l’ANSSI, éclaire certains points. Efficace en matière d’immunité au droit extraterritorial et de cybersécurité, le sésame n’élimine pas les dépendances logicielles, organisationnelles et humaines extra-européennes.

Gaétan Raoul
par
Publié le: 06 janv. 2026

Dans un long billet pédagogique publié le 6 janvier, le directeur général de l’agence nationale de la sécurité des systèmes d’information, précise, en essence, ce qu’est et ce que n’est pas la qualification permettant aux fournisseurs d’afficher le badge cloud de confiance. Elle « ne signifie pas l’absence de dépendance », souligne-t-il.

La qualification SecNumCloud 3.2 offre en premier lieu des « garanties de cybersécurité » pour des charges de travail sensibles et une limitation des risques d’exposition au droit non européen. Il s’agit plus particulièrement d’assurer un bon niveau de protection par défaut contre les menaces cyber, d’empêcher l’existence d’un « kill switch » et l’accès aux données par les autorités extra-européennes, dont les États-Unis et la Chine. Tout en s’assurant de leur localisation en Europe, au sein des frontières de l’UE.

Et de battre en brèche une opinion persistante. Non, le chiffrement des données « ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement (ou alors ce n’est pas du cloud, mais du stockage en ligne sans traitement…) ».

L’une des mesures phares du référentiel consiste à conditionner l’accès à la qualification à un prestataire hébergeur européen, « en termes de sièges et de capitalisation ». Celui-ci doit « être autonome dans l’exploitation de la solution », peu importe s’il en est le concepteur ou non.

« Les critères d’implantation et de structuration capitalistique du chapitre 19 du référentiel SecNumCloud sont, à date, le seul moyen identifié de couvrir le risque lié au droit non européen », affirme Vincent Strubel, qui sans les nommer écarte du spectre de confiance les solutions « EU Sovereign Cloud » d’AWS et de Microsoft.

Le prestataire qualifié SecNumCloud peut tout de même faire appel à des « sous-traitants ou fournisseurs non européens », indique le directeur de l’ANSSI. Toutefois, ceux-là n’ont pas accès aux données des clients finaux. Les employés des prestataires qualifiés sont soumis à des règles de séparation et doivent être de nationalité européenne. Il s’agit de réduire les effets d’éventuelles menaces que pourrait subir ce personnel qualifié.

« C’est vrai même dans le cadre d’une offre “hybride” qualifiée : le fournisseur de la technologie cloud est soumis aux lois américaines, mais n’a pas accès aux données et ne peut par conséquent pas donner suite à une injonction », souligne le directeur de l’ANSSI en référence à S3NS, en lien avec Google, et bientôt Bleu (technologie Microsoft Azure) qui ne devrait pas tarder à afficher le précieux sésame.

SecNumcloud ou non, open source ou non, les dépendances IT demeurent

Hybride. Vincent Strubel reprend là la terminologie des détracteurs des offres Bleu et S3NS pour « la simplicité de lecture ». Car le sujet des dépendances technologiques « ne se prête pas à une lecture binaire ». Oui, un fournisseur d’une offre dite hybride – qualifiée SecNumCloud sur la base d’une pile technologique estampillée GAFAM – est sans doute plus exposé à ce risque. Actuellement, S3NS et Bleu pourraient offrir un maintien en condition opérationnelle de leur solution pendant six à douze mois s’ils n’avaient plus accès aux mises à jour de Google et de Microsoft.

Cependant, « toutes les offres de cloud, “hybrides” ou non, dépendent de composants électroniques (CPU, GPU, etc.) et logiciels (systèmes d’exploitation, bases de données, couches d’orchestration…) dont la conception ou la mise à jour ne sont pas maîtrisées à 100 % en Europe », rappelle Vincent Strubel.

Oui, l’open source est un gage d’une plus grande autonomie. « Elle n’est pourtant pas la panacée », enchaîne le responsable. « Aucun acteur, État ou entreprise, ne maîtrise entièrement, et ne peut prétendre “forker” et maintenir en autarcie toute la “stack” technologique du cloud, depuis le noyau Linux jusqu’à OpenStack, PostgreSQL, etc., en passant par les milliers de modules python, JavaScript ou autre sans lesquels rien de tout cela ne fonctionne vraiment ».

Un embargo sur GitHub, GitLab et tous les autres dépôts de code libre hébergés aux États-Unis entraînerait mécaniquement « un problème global de dégradation du niveau de sécurité en l’absence de mises à jour, dans le cloud comme ailleurs ».

Vincent Strubel insiste. Le fait de considérer que seules les offres cloud sont concernées par ce phénomène « est une pure vue de l’esprit ».

Stéfane Fermigier, cofondateur d’Eurostack, membre de l’APELL et dirigeant d’Abilian, avait déjà interpellé LeMagIT à ce sujet. S’arrêter à la domination américaine en matière d’open source « est une simplification qui ignore la force vive de l’Europe », jugeait-il. Et d’insister sur la force de l’écosystème open source européen, fragmenté et peu soutenu par les pouvoirs publics et les entreprises.

Le SecNumCloud n’est pas un outil de « politique industrielle », assure Vincent Strubel

Si la notion de préférence européenne dans le choix des prestataires cloud a un « sens en matière de politique industrielle, ce n’est pas le rôle de SecNumCloud », répond indirectement Vincent Strubel.

« L’extra-territorialité américaine ne se désactive pas par un communiqué », lance Sylvain Rutten, consultant chez NextHop, ex-responsable du pôle infrastructure cloud et sécurité chez Docaposte, dans un post LinkedIn publié ce mardi 6 janvier.

« Elle s’applique dès qu’il existe une juridiction, un levier de contrôle, une dépendance technologique. Data centers en France. Capital français. Certifications en vitrine. Très bien », poursuit-il. « Mais si les briques critiques, les éditeurs, les chaînes de support, les mises à jour et les dépendances structurantes restent sous influence américaine, alors ce n’est pas un cloud de confiance. C’est un cloud d’obéissance. Et ceux qui prétendent que le droit suffit à nous en protéger ne défendent pas la souveraineté », assène-t-il. « Le tout avec la caution du “Young Leader”, vassal en chef, et de ses laquais à la tête de Bleu et S3NS ».

Ici, Sylvain Rutten mentionne le président Emmanuel Macron, alumni du programme Young Leaders de la French American Foundation. Cette initiative vise à renforcer les liens et favoriser les échanges entre les futurs dirigeants de la France et des États-Unis. Si une telle organisation suscite des fantasmes, il s’agit là d’une des démonstrations de l’influence douce (« soft power ») à l’américaine qui s’est généralisée au sortir de la Seconde Guerre mondiale. Bien qu’ébranlée par les méthodes du président américain actuel, beaucoup plus direct, cette influence douce perdure. Elle façonnerait aussi les comportements d’achats IT, selon Niels Kerssens, professeur d'études culturelles à l'Université d'Utrecht, aux Pays-Bas.

Pour approfondir sur Réglementations et Souveraineté