"Vous ne m'entendrez pas dire que Bleu va être qualifié SecNumCloud parce là ça serait préjuger d'un travail l'évaluation qui doit être mené", préfère préciser Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), à l'occasion de son audition devant la commission d'enquête sénatoriale sur la commande publique. Mais il ajoute également que "rien ne s'oppose, dans notre analyse, à sa qualification".
Conforme, sur le papier, à SecNumCloud
L'explication du patron de l'organisme cyber français est claire : "le montage capitalistique qui associe Capgemini et Orange pour exploiter la technologie Microsoft est conforme, sur le papier, aux exigences capitalistiques de SecNumCloud". Pour rappel, la dernière version du visa de sécurité (3.2) prévoit dans son article 19.6 que les entités situées hors de l’UE ne peuvent pas détenir plus de 24% individuellement du capital ou des droits de vote, et détenir plus de 39% collectivement.
L'objectif de ce critère est, pour rappel, de limiter l'influence des lois extraterritoriales, en particulier les lois américaines avec le CLOUD Act et le FISA. Le premier permet aux autorités américaines d'exiger l'accès à des données stockées à l'étranger, dès lors qu'elles sont contrôlées par une entreprise soumise au droit américain, même si ces données sont hébergées dans des data centers situés en Europe. Le second texte autorise les services de renseignement américains à surveiller des personnes étrangères, sans mandat nominatif via les fournisseurs de cloud.
Pour allier la protection des données et la puissance des technologies américaines, des entreprises françaises se sont associées à des fournisseurs de cloud américains. C'est le cas de Thales et Google Cloud avec S3NS et d'Orange et Capgemini avec Microsoft. Tandis que le premier vise la qualification "SecNumCloud" au troisième trimestre 2025, le second ambitionne d'obtenir le précieux sésame au premier trimestre 2026.
La technologie de Bleu et S3NS échappe aux lois américaines
Ainsi, poursuit Vincent Strubel, "la technologie Microsoft tournant dans un cloud Bleu – on pourrait dire la même chose de S3NS avec la technologie Google – ne sera pas soumise à la captation, au titre du CLOUD Act ou du FISA". Cette conclusion repose sur "une lecture régulière depuis sa parution", dont la documentation précise a été réclamée par la sénatrice Catherine Morin-Desailly.
Plus précisément, le directeur général rappelle que le CLOUD Act s'impose "à tout opérateur de solution de communication électronique", dont les opérateurs de cloud, qui est "dépositaire des données" ou qui en a "le contrôle". Ainsi, "dans un montage comme Bleu, Microsoft fournit la technologie mais ne voit pas les données, indique-t-il. Les choses sont architecturées de telle sorte que (...) les données sont sous le contrôle exclusif d'acteurs européens."
Reste la question de la dépendance technologique
En revanche, et c'est l'objet principal de la commission d'enquête, les offres de cloud hybrides posent évidemment des questions en matière de dépendance à des technologies étrangères. "C'est un autre sujet, prévient le directeur. Nous ne sommes plus dans le champ visé par SecNumCloud. Faut-il se poser la question de notre dépendance quasi exclusive à un certain nombre de technologies ? Evidemment que oui, mais c'est un champ qui dépasse largement la cybersécurité." L'occasion pour Vincent Strubel de rappeler un point souvent omis : "même dans un cloud purement français, vous avez de la technologie américain !".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
