Newsletters

Outscale décroche la nouvelle version de la qualification SecNumCloud

Pour ses services de cloud public, Outscale a obtenu la nouvelle version du visa de sécurité SecNumCloud. Délivrée par l'Agence nationale de la sécurité des systèmes d'information, cette qualification atteste qu'un certain nombre de critères de robustesse et de confiance sont remplis, en particulier une immunité contre les lois étrangères. Conforme à la doctrine gouvernementale "cloud au centre", les données sensibles des institutions publiques pourront être hébergées par ce cloud, se réjouit la filiale de Dassault Systèmes. 

Alice Vitard
Datacenters 3DS Outscale
3DS Outscale
Datacenters 3DS Outscale

Outscale, la filiale cloud de Dassault Systèmes, a annoncé le 11 décembre avoir reçu la version 3.2 du visa de sécurité SecNumCloud pour ses services de cloud public. Elle se félicite d'ainsi devenir "le premier opérateur Cloud d'Expérience as a Service à obtenir la qualification SecNumCloud 3.2", d'après les mots de Philippe Miltin, CEO de l'entreprise. 

Favoriser les prestataires de confiance

Ce visa est délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et a pour objectif de "promouvoir, enrichir et améliorer l'offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l'hébergement de leurs données, applications ou systèmes d'information", peut-on lire sur son site. Le label étant particulièrement exigeant, seuls quatre fournisseurs de services cloud ont été certifiés par l'autorité française. Il s'agit d'Oodrive, d'Outscale, OVHcloud et Worldline (dans le périmètre restreint de son cloud privé). 

Cette qualification est née du constat suivant : il n'existait aucun référentiel de sécurité nationale pour les fournisseurs de cloud. A la suite à la promulgation de la Loi de Programmation Militaire en 2013, l'Anssi s'est entourée de neuf acteurs du secteur du cloud computing pour former un groupe de travail et réfléchir à la création d'un visa de sécurité reposant sur un référentiel exigeant. Fin 2016, la première version du SecNumCloud est publiée.

Une protection contre les lois extraeuropéennes

La dernière version – la version 3.2 – a été adoptée en mars 2022 et avait notamment comme objectif d'expliciter les critères de protection vis-à-vis des lois étrangères dans le contexte de l'arrêt Schrems II. En juillet 2020, la Cour de justice de l'Union européenne a sabré le Privacy Shield, le texte qui permettait de faciliter les flux de données personnelles entre l'Union européenne et les Etats-Unis en assurant que les deux entités avaient un niveau de protection équivalent. Les exigences de la version 3.2 garantissent ainsi que "le fournisseur de services cloud et les données qu'il traite ne peuvent être soumis à des lois non européennes". 

Pour Outscale, SecNumCloud n'est donc pas une nouveauté. En décembre 2019, l'entreprise avait inauguré sa première région qualifiée, puis une seconde un an plus tard. Un audit de renouvellement devant être effectué tous les 3 ans, elle a donc à nouveau obtenu le visa mais cette fois-ci dans sa nouvelle version. Ce qui signifie que les autres bénéficiaires de SecNumCloud devraient, en toute logique, suivre ses pas.

Conforme à la doctrine "Cloud au centre"

La nouvelle version SecNumCloud s'inscrit dans un contexte bien particulier : en mai 2023, le gouvernement a mis à jour sa doctrine sur le cloud – baptisée "Cloud au centre" – qui précise le périmètre des données qui doivent être hébergées par un fournisseur qualifié SecNumCloud. Sont concernés le "système ou l'application informatique" qui traite "des données à caractère personnel ou non d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et à la vie des personnes ou à la protection de la propriété intellectuelle". La doctrine cite "les données qui relèvent de secrets protégés par la loi" ainsi que "les données nécessaires à l'accomplissement des missions essentielles de l'Etat". 

C'est ainsi qu'Outscale se présente comme "le partenaire stratégique pour les institutions dans leur démarche de mise en conformité avec la politique de modernisation de l'action publique". Il souhaite également conquérir le marché "des organisations manipulant des données stratégiques", dans le domaine de la santé notamment, ainsi que celui de l'intelligence artificielle. "Outscale (...) se distingue par l'utilisation de GPU disponibles sur un cloud souverain qualifié SecNumCloud 3.2 offrant une réponse unique aux besoins croissants de calculs intensifs liés à l'IA, tout en respectant des normes strictes de sécurité et de souveraineté", indique la filiale de Dassault Systèmes. 

Conforme au futur EUCS

Avec cette qualification renouvelée, Outscale se vante également d'être conforme "au niveau élevé du futur schéma européen de certification". Le European Union Cybersecurity Certification Scheme for Cloud Services (EUCS), défini à l'origine par la European union agency for the cybersecurity, devrait en effet à terme remplacer le visa SecNumCloud. L'objectif de cette certification est d'harmoniser à l'échelle européenne les méthodes d'évaluation et les différents niveaux d'assurance de la certification cloud.

Les Etats membres doivent s'accorder sur les critères à respecter pour se voir remettre l'un des trois niveaux de certification (basic, substantial et high). Les discussions sont laborieuses puisqu'ils n'arrivent pas à s'entendre en particulier sur les critères à respecter pour le niveau le plus élevé en matière de protection contre les lois étrangères. La France souhaite que les fournisseurs étrangers ne puissent pas accéder à ce niveau tandis qu'une coalition de pays menée par l'Allemagne plaide pour l'approche la plus ouverte possible. Rappelons à ce propos que Berlin a accueilli à bras ouverts la nouvelle offre d'Amazon en Europe, "AWS European Sovereign Cloud"

S3NS persuadé d'obtenir SecNumCloud 

Les acteurs français ne sont pas les seuls à prétendre au visa SecNumCloud nouvelle génération. S3NS, la joint-venture entre Google Cloud et Thales, espère bien obtenir ce fameux label. Son offre "cloud de confiance" sera disponible au quatrième trimestre 2024, d'après Cyprien Falque, directeur général de S3NS, qui disait être "intimement persuadé" d'avoir le visa de sécurité.

Précision intéressante : dans la circulaire de mai dernier, le gouvernement précisait à propos des données sensibles qu'elles devront être hébergées par un fournisseur dont l'offre est qualifiée SecNumCloud et qui est "immunisée contre tout accès non autorisé par des autorités publiques d'Etat tiers". Ce que devra donc prouver S3NS pour pouvoir proposer son "cloud de confiance" aux institutions publiques. 

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Tous les postes disponibles
Les webinars
Tout voir
Tech
Pourquoi choisir une carrière SAP chez Accenture ? Le témoignage de Kim et Elyes
31 mars 2026 - 12h00
45 min
68 inscrit(s)
Contenu proposé par ACCENTURE SAS
S’inscrire au webinar
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
187 inscrit(s)
Contenu proposé par SALESFORCE
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
400 inscrit(s)
Contenu proposé par SALESFORCE
Voir le replay