Exit les cloud américains, les ministres exhortés à utiliser des solutions SecNumCloud

La dépendance à la technologie américaine coûte cher à l'Europe : près de 264 milliards d'euros par an. Au-delà de son coût, des questions purement juridiques se posent également. Comme le montre la mise à jour de la doctrine gouvernementale "Cloud au centre", discrètement publiée le 22 avril dernier. Le document a été révélé pour la première fois par le média Politico. 

Protection contre les accès non autorisés

Le document – signé par Laurent Marcangeli (ministre de l'Action publique), Amélie de Montchalin (ministre chargée des Comptes publics) et Clara Chappaz (ministre du Numérique) – impose aux ministères "d'impérativement s'assurer" que "les hébergements" et que "les applications utilisées pour le traitement des données sensibles" sont conformes aux exigences de protection contre "tout accès non autorisé par des autorités publiques d'Etats tiers". 

Ce niveau de sécurité se retrouve dans les offres ayant obtenu le visa de sécurité "SecNumCloud", délivré par l'Agence nationale de la sécurité des systèmes d'information, indiquent les ministres. Obtenue à l'issue d'une procédure rigoureuse, cette qualification atteste du plus haut niveau de sécurisation des données hébergées dans un cloud. Les ministères peuvent également se tourner vers "des offres d'informatique en nuage interministérielles sécurisées portées par le ministère de l'Intérieur et le ministère de l'Economie, des finances et de la souveraineté industrielle". 

Pour les offres bureautiques, la doctrine recommande de se tourner vers les "outils collaboratifs et sécurisés" proposés par la Direction interministérielle du numérique (Dinum), rassemblés au sein de la plateforme "La suite numérique". 

Un avis obligatoire de la Dinum

Pour s'assurer du respect de ces nouvelles exigences, à compter du 31 mai 2025, chaque centrale d’achat de biens et de services courants des ministères (CBCM) – chargée de regrouper et de piloter les marchés publics pour optimiser les achats communs – refusera tout achat qui n'aurait pas reçu au préalable l'avis de la Dinum. Une dérogation est possible, selon la procédure de la circulaire du 31 mai 2023. 

En réalité, cette mise à jour du Cloud au centre était déjà prévue dans la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (loi SREN). Son article 31 prévoit que de nouvelles obligations à respecter en matière d'hébergement des données "d'une sensibilité particulière". Il s'agit des données relevant de secrets protégés par la loi ainsi que celles nécessaires à l'accomplissement de missions essentielles de l'Etat notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.

Ces données doivent être hébergées par un fournisseur mettant en oeuvre "des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre". A noter que le texte ne cite pas directement le visa "SecNumCloud". 

S3NS et Bleu dans la course au SecNumCloud

L'objectif de cette législation est d'empêcher les autorités étrangères d'accéder aux données des ministères. La cible première : les autorités américaines, qui bénéficient de cette prérogative en vertu du CLOUD Act. Autrement dit, à en croire la mise à jour de la doctrine gouvernementale, les ministères ne peuvent plus utiliser des services d'hébergement des entreprises américaines. Car ceux-ci ne sont pas qualifiés SecNumCloud.

Or, cette situation pourrait changer dans les prochains mois avec les offres hybrides S3NS et Bleu. La première, issue de la coentreprise entre Thales et Google Cloud, a franchi le premier jalon (J1), c'est-à-dire l'acceptation de la stratégie d'évaluation par l'Anssi, en décembre 2024. Elle vise la qualification au troisième trimestre 2025. De son côté, Bleu, joint-venture entre Orange et Capgemini pour proposer les services de Microsoft, vise la qualification complète pour le premier semestre 2026. Leur entrée sur le marché de l'hébergement de confiance pourrait considérablement rebattre les cartes.