Depuis plusieurs années, les fournisseurs de services de cloud se bousculent au portillon pour obtenir la qualification "SecNumCloud" par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Aujourd'hui, sept entreprises ont réussi l'examen, parmi lesquels OVHcloud et Index Education, filiale de Docaposte (La Poste) éditrice de logiciels éducatifs tel que Pronote. Plusieurs sont en cours d'évaluation, parmi lesquels S3NS, la co-entreprise entre Thales et Google, qui s'est vue octroyer le premier jalon (le J0) en juillet dernier.
Pour comprendre cette tendance, le Club Data Protection a organisé un webinaire avec ces trois entreprises, dont le replay est disponible. Voici les échanges qui ont eu lieu entre Anne Duboscq, directrice des affaires publiques d'OVHcloud, Alexandre Berino, directeur confiance et conformité d'Index Education, et Blaise Vignon, directeur développement produits au sein de S3NS.
L'Usine Digitale – Que représente le marché du cloud qualifié SecNumCloud pour OVHcloud ?
Anne Duboscq – Pour OVHcloud, le marché du SecNumCloud est une priorité et le fait d'avoir des produits qualifiés fait partie des priorités stratégiques de l'entreprise. Nous faisons partie des entreprises parmi les premières à obtenir le visa de sécurité puis l'avons renouvelé avec la nouvelle version (version 3.2). Le principal produit qualifié est Hosted Private Cloud, un produit de cloud privé. Nous sommes, par ailleurs, actuellement en cours de qualification pour "Bare Metal Pod", pour lequel on espère obtenir la qualification dans les prochains mois. Notre objectif à terme, sur les années à venir, est de proposer l'ensemble de nos produits de cloud public dans un environnement SecNumCloud.
Ce que nous observons sur le marché, c'est que le nombre de clients n'a cessé de croître. Aujourd'hui, nous comptons une centaine de grands clients qui utilisent cette offre. Il y a tout type d'organisation, privée comme publique. Quand il s'agit d'entreprises, cela peut être soit des clients directs qui vont installer une partie de leur SI dans un environnement SecNumCloud. Soit des éditeurs de logiciels qui - même si leur solution n'est pas SecNumCloud - ont intérêt et la volonté de la proposer dans un environnement qui est qualifié. Il s'agit, par exemple, d'éditeurs dans la cybersécurité, dans la santé ou encore dans le secteur financier.
UD – De son côté, Index Education, s'adresse au monde éducatif. Pourquoi l'entreprise s'est-elle engagée dans une telle démarche ? L'entreprise a vu ses offres qualifiées en septembre dernier.
Alexandre Berino – Index Education touche quotidiennement 18 millions de personnes, de famille, la communauté éducative sur l'ensemble du secondaire. Cette audience nous engage à une protection des données. Chez Index Education, comme chez notre maison-mère Docaposte, nous avons la conviction qu'une donnée scolaire doit être traitée comme une donnée sensible, même si aujourd'hui elle n'a pas ce statut. Ainsi, nous nous sommes engagés dans la démarche SecNumCloud en 2020, juste après notre certification ISO 27001.
Une démarche SecNumCloud pour les données scolaires se décline en trois volets. Sur le volet technologique, c'est la mise en place des plus hauts standards de sécurité sur un logiciel massivement utilisé par la population française quotidiennement, mais également de mettre en place un arsenal juridique pour s'assurer que les données soient strictement utilisées, dans un cadre maîtrisé, sans fuite de données. Le troisième point, c'est d'avoir l'organisation adéquate puisqu'il s'agit de transformation d'entreprise et de salariés.
UD – Vous parlez de transformation d'entreprise. Comment cela se manifeste-t-il concrètement ? Combien de personnes s'occupent de cette qualification au sein d'Index Education ?
AB – Sur 160 salariés, 30 personnes s'occupent de cette qualification. Il s'agit donc d'un investissement très important dans une démarche de transformation, puisque effectivement ce n'est pas les équipes cybersécurité, les équipes d'infrastructure, les équipes de développement qui s'occupent du SecNumCloud, c'est l'ensemble de la société avec un fort sponsoring de la direction pour assurer justement une homogénéité dans la réponse de l'entreprise. Le rôle de l'équipe de sécurité [dont Alexandre Berino fait partie, ndlr] est de piloter de manière transversale et équilibrer l'ensemble de ces sujets.
UD – Contrairement à OVH et Index Education, S3NS n'a pas encore reçu la qualification par l'Anssi. Quand pensez-vous recevoir le visa de sécurité ?
Blaise Vignon – S3NS est une joint-venture entre Thales et Google. Son objectif est la mise à disposition de Google Cloud Platform dans un environnement SecNumCloud. C'est une opération complexe qui a commencé il y a deux ans. On vise la qualification cet été, sans être plus précis sur la date. Nous avons obtenu le premier jalon, le J0. Nous sommes dans une bonne dynamique pour y arriver.
UD – Avant même d'obtenir la qualification, S3NS a décidé de lancer une offre "Contrôles locaux". Quels sont les clients ?
BV – Il faut tout d'abord bien comprendre que l'offre "Contrôles locaux" est une offre en termes de fonctionnalités qui soit équivalente à celles de Google Cloud. Sur les clients, il s'agit d'acteurs qui souhaitent utiliser les services d'un hyperscaler tout en ayant une motivation de confidentialité. Nous estimons que cette offre est très adaptée pour les déploiements qui vont concerner des données réglementées, de type RGPD. En effet, l'un des freins à la migration vers le cloud est la gestion de la donnée : ai-je le droit de mettre ces données sur le cloud ?
UD – Il y a donc de plus en plus de fournisseurs qui ont ou souhaitent avoir cette qualification. Face à cette concurrence, quelle est la particularité d'OVHcloud ?
Anne Duboscq – Nous avons été parmi les premiers à avoir obtenu le visa. Ce n'est pas une promesse client, c'est une réalité depuis près de quatre ans. Je pense que c'est un différenciant important. Ensuite, du point de vue de l'entreprise, nous avons trois grands différenciants. Le premier est d'être une entreprise d'origine française contrôlée en France. De facto, toutes les questions liées au risque d'accès aux données par des autorités non européennes ne se posent pas. C'est d'ailleurs le cas pour n'importe quel produit OVHcloud, y compris ceux qui ne sont qualifiés SecNumCloud.
Le deuxième différenciant est le fait que nous attachions beaucoup d'importance au fait de maîtriser l'empreinte environnementale de nos activités. OVHcloud opère ses data centers en propre, dans lesquels nous avons installé des serveurs que nous avons fabriqués nous-mêmes. Donc, nous ne sommes pas simplement une entreprise de services numériques. Nous sommes également un acteur industriel, ce qui permet de maîtriser la chaîne de valeur et de mettre en place et de développer des technologies, y compris industrielles et propriétaires, qui vont permettre à terme d'avoir une efficacité énergétique plus importante ou une consommation d'eau qui va être moins importante pour d'autres types de technologies. A titre d'exemple, dans ses datacenters, OVHcloud n'utilise pas de climatisation. Les serveurs sont refroidis à l'eau par une technologie qu'on appelle "le watercooling". Il s'agit d'une problématique qui est regardée de très près à l'ère de l'intelligence artificielle.
Le troisième différenciant, c'est cette volonté d'avoir un ratio prix performance qui est très intéressant pour les clients. Encore une fois, la promesse d'Octave Klaba, ça a toujours été de dire on peut innover en toute liberté, on laisse le client maître de sa technologie. Et ça passe aussi par le fait de ne pas être écrasé par des prix et par des produits sur lesquels il va perdre le contrôle à la fois d'un point de vue technique et d'un point de vue financier.
UD – Du côté d'Index Education, vous avez fait le choix de classer les données éducatives comme des données stratégiques. Est-ce également une volonté des clients, des établissements publics comme privés, voire des parents d'élèves ?
Alexandre Berino – Sur ce sujet, le Covid-19 a été un accélérateur et a créé une prise de conscience. Il faut savoir qu'en quelques jours, les usages du numérique dans l'éducation ont été multipliés par quatre. Ce qui est intéressant, c'est que les familles nous sollicitent aussi pour nous demander aussi des comptes sur la sécurité des plateformes. Les établissements, bien entendu, sont de plus en plus regardants et challengeants sur ces sujets là, puisqu'il y a une prise de conscience sur la valeur de cet outil et de sa nécessité de fonctionner.
UD – Et vous côté clients, Blaise Vignon, est-ce que les clients de "Contrôles locaux" seront les mêmes que ceux de l'offre en cours de qualification ?
BV – Aujourd'hui, nous avons une trentaine de clients de "Contrôles locaux". Vous le savez peut-être mais la qualification SecNumCloud implique d'avoir déjà des workloads clients qui tournent. Nous sommes donc en train d'onboarder les premiers clients. Parmi les clients de la première offre, on trouve Birdz, qui est une filiale de Veolia qui fait du relevé de compteur d'eau, ainsi que Posos dans le monde médical et la télé-ordonnance.
UD – Quelle est la force de S3NS ?
BV – C'est le continuum. C'est-à-dire que l'ensemble de ces offres, que vous preniez du Google cloud public en mode achat revente, que vous preniez du "Contrôles locaux", ou du cloud de confiance, vous allez être sur le même socle technologique. Donc la formation des ingénieurs va être la même, le déploiement des applicatifs va être le même, et à chaque fois, on va venir bénéficier non seulement de cette similitude, mais également des mises à jour permanentes qui sont apportées sur le cloud public de Google.
UD – A travers vos témoignages, on voit bien que les investissements pour obtenir et maintenir la qualification sont importants pour un marché qui semble restreint. Est-ce que cela vaut-il vraiment le coup ?
Anne Duboscq – En effet, ce sont des investissements à la fois technologiques et physiques dans les bâtiments. Alors pourquoi fait-on ça ? Comme je vous disais, après quatre ans de test du marché, nous voyons que c'est un marché qui croît, et l'un de ceux qui croît le plus vite. De plus, c'est un marché qui n'intéresse pas que les Français puisque nous avons des clients allemands, qui sont venus nous voir pour bénéficier d'infrastructures qualifiées SecNumCloud, en nous disant que pour eux c'était l'infrastructure qui répondait le mieux aux enjeux de protection des données. Par ailleurs, à l'échelle française et européenne, cette question de souveraineté et de maîtrise des données se pose de plus en plus. Actuellement, il n'y a que SecNumCloud qui est en capacité d'apporter une protection en matière de cybersécurité et juridique. D'où la nécessité d'avoir un schéma européen de certification.
A préciser que tout le monde n'a pas besoin du même niveau de protection. En effet, il n'y a pas besoin de mettre du SecNumCloud partout. L'idée, c'est plutôt qu'un utilisateur soit capable de se poser, de se dire qu'est ce que j'ai comme données ? Quelles sont les données qui sont les plus sensibles ? Quelles sont les données qui méritent un niveau de protection plus ou moins élevé ? Et sur cette base, de pouvoir décider quel type de service il va utiliser. Et il y aura une partie qui pourra être qualifiée SecNumCloud et une partie qui ne le sera pas. Et c'est tout l'intérêt d'avoir des services cloud qui soient agiles, qui soient hybrides et qui puissent se connecter les uns aux autres.
Blaise Vignon – La qualification SecNumCloud est la raison d'être de S3NS. Pour nous, SecNumCloud n'est pas de la transformation mais de la construction. Ce qui signifie que nos datacenters ont été construits sur des frameworks "SecNumCloud" et que les employés ont été recrutés pour faire du SecNumCloud.
Alexandre Berino – Nous travaillons avec tout un écosystème de partenaires puisqu'Index Education n'est pas photographe scolaire, ne fait pas de la restauration scolaire, ne fait pas des ressources numériques, et ce n'est pas notre objectif. Néanmoins, il faut travailler avec tout un écosystème qui va rendre plus simple la vie de millions d'utilisateurs. Et SecNumCloud est une opportunité pour créer ce qu'on appelle la chaîne de confiance. C'est la porte d'entrée qui va être le portail académique, pour s'authentifier pour un parent ou un enseignant jusqu'à la gestion de la restauration scolaire ou la récupération de photos scolaires. Il s'agit d'assurer un niveau cohérent et continu de sécurité de bout en bout pour simplifier et rendre lisible l'offre cloud.
UD – A l'échelle européenne, les Etats membres négocient actuellement le schéma européen de certification cloud (EUCS). OVHcloud a co-signé plusieurs lettres appelant à l'adoption de critères forts en matière d'immunité contre les lois extra-territoriales pour le niveau "High +" du schéma. En quoi est-ce important ?
Anne Duboscq – Nous suivons ces débats à Bruxelles de près. Parce qu'avant même de parler d'immunité aux lois extraterritoriales, c'est une bonne chose d'imaginer qu'à terme, nous ayons un schéma qui soit harmonisé au niveau européen. A l'heure actuelle, OVHcloud est qualifié dans un certain nombre de pays, à chaque fois selon des process différents et des exigences différentes. Donc vous imaginez bien que ce n'est pas la même chose de se faire qualifier SecNumCloud en France, en Allemagne, en Italie ou autre. Ainsi, cela serait quand même souhaitable d'avoir un seul et unique schéma qui soit reconnu dans l'ensemble de l'Union européenne.
De plus, nous pensons qu'il est souhaitable que le schéma qui est prévu avec plusieurs échelons de protection, puisse, au niveau le plus élevé, garantir cette immunité face au risque d'accès par des autorités non européennes. Dans la continuité de nos engagements au niveau français, que je viens d'évoquer, ça nous paraît normal que tout utilisateur de cloud au niveau européen sache qu'il y a sur le marché des offres qui lui garantit que ses données de propriété intellectuelle, données de fabrication de mes produits, données financières soient dans un environnement parfaitement sécurisé.
Dernier point important : je pense que le plus important c'est que les utilisateurs expriment une telle position. Et ce qu'on observe depuis quelques mois, c'est un certain nombre d'organisations, en particulier des organisations représentant des DSI, des DSI belges, des DSI néerlandais, des DSI français, des très grandes entreprises dans le secteur de l'aéronautique, dans le secteur de la défense, dans le secteur des télécoms, qui expriment ce besoin d'avoir un schéma qui inclut des critères permettant de garantir le fait que les données ne soient pas accessibles aux autorités.
Blaise Vignon – D'abord je voudrais dire que je souscris à tout ce qui vient d'être dit. Sur la nécessité d'un label européen, les chiffres sont très éloquents. Chaque année où on ne fait pas grandir la tech européenne aussi vite que la tech américaine, en fait on prend du retard. Il y a un réel besoin : on le voit avec les clients de S3NS. Et si ce besoin existe en France, il existe aussi dans les autres pays d'Europe.
Alexandre Berino – Je suis évidemment alignée sur ces positions : il faut un label et des critères forts. Index Education a une filiale en Italie et, de manière extrêmement concrète, le visa de sécurité SecNumCloud n'a pas forcément une grande valeur en Italie aujourd'hui. C'est une réalité. Ainsi, c'est vrai que d'avoir un label qui dépasse les frontières françaises est une nécessité pour faire vivre cet écosystème dans le milieu de l'éducation, mais sur l'ensemble des autres sujets, tels que la santé, par exemple.
UD – Est-ce une crainte que les Etats membres ne réunissent pas à s'accorder et que les critères contre les lois extraterritoriales ne soient finalement pas intégrés dans le niveau "High +" ? A en croire la position française, le visa européen devrait supplanter le label français...
Anne Duboscq – J'ai du mal à penser que cela puisse être le cas encore une fois. Il y a une demande du marché. De plus, nous sommes dans un période où les questions de compétitivité de l'Union européenne sont très présentes. Le rapport Draghi, dont tout le monde a beaucoup parlé, évoque le besoin d'avoir des services cloud dits souverains qui protègent face aux risques d'accès aux données. Le débat ne fait qu'être amplifié depuis 3-4 ans. C'est vrai que je suis très optimiste, mais j'ai du mal à penser qu'on n'entende pas ce besoin qui est exprimé.
Alexandre Berino – Le besoin, il existe. Quand nous parlons avec nos partenaires, personne ne nous dit qu'on doit faire marche arrière sur ces sujets là. Donc c'est vrai que là, je rejoins complètement Anne, c'est qu'il y a un besoin et nécessité d'avoir ce type de protection là. Donc on va voir la forme que ça prendra, mais elle est nécessaire.
Blaise Vignon – C'est, en effet, une demande des clients. Mais si la formalisation dans le droit européen n'a pas lieu, la demande ne s'en ira pas. Cela sera un problème parce qu'on n'aura pas de standard européen. Je pense qu'il faut prendre les choses dans le bon ordre. Même si on le dit souvent par abus de langage, ce n'est pas SecNumCloud qui crée une demande de cybersécurité et de souveraineté. Cette demande existe dans tous les cas.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
