OVHCloud, entreprise européenne spécialisée dans le domaine de l’hébergement web et des services cloud, a récemment franchi une étape cruciale en obtenant la certification SecNumCloud 3.2. Cet article explore l’impact de cette reconnaissance, la dynamique de la souveraineté numérique européenne, et les défis liés à la régulation des services cloud dans un contexte mondial en mutation.
Le cloud, un nuage numérique démystifié
Le cloud est un réseau de serveurs interconnectés. Il permet le stockage, la gestion des données, l’exécution d’applications et la fourniture de services en ligne, accessibles depuis n’importe quel appareil connecté à Internet, offrant ainsi une disponibilité universelle des informations.
En réaction à la domination américaine dans le secteur du cloud, la France a lancé une nouvelle stratégie, en cohérence avec sa doctrine « cloud au centre ».
En effet, faisant du cloud « un prérequis pour projet numérique au sein de l’État », le gouvernement souhaite ainsi « accélérer la transformation numérique au bénéfice des usages et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises ».
SecNumCloud 3.2 couronne la sécurité dans les nuages
Lancée officiellement en 2016, par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la certification SecNumCloud permet de qualifier les prestataires de service cloud. Son objectif est de « promouvoir, enrichir et améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information ».
C’est après l’invalidation du Privacy Shield, le 16 juillet 2020, par la Cour de justice de l’Union Européen qui permettait de protéger les transferts de données de l’Union européenne vers les États-Unis, qu’OVHCloud se voyait remettre la certification SecNumCloud, reconnue ainsi comme « cloud de confiance ».
Trois ans après sa première certification, OVHCloud suit les pas d’Outscale, la filiale Cloud de Dassault Systèmes, en renouvelant sa certification SecNumCloud version 3.2. Accordée par l’ANSSI le 23 décembre 2023, cette dernière témoigne de la stricte conformité d’OVHCloud aux normes de robustesse et de confiance.
Cette certification contribue à l’émergence d’un Cloud européen sécurisé en imposant des protocoles avancés, des tests d’intrusion réguliers et une surveillance technique continue. Les exigences opérationnelles renforcées induisent une organisation interne plus solide, avec des processus de gestion de la sécurité plus élaborés.
L’appel à la souveraineté numérique européenne face aux pressions américaines
Ainsi, SecNumCloud 3.2 consacre OVHcloud en leader, consolidant sa réputation sur le marché numérique européen.
Dans cette perspective, l’évolution rapide du paysage numérique souligne l’impératif de renforcer la souveraineté numérique européenne. Il est également crucial de clarifier rapidement l’immunité des services cloud face aux lois extraterritoriales pour préserver cette souveraineté dans un contexte d’enjeux croissants.
Dans un entretien avec Michel Paulin, directeur général d’OVHCloud, pour le média européen Euractiv, OVHCloud affirme son immunisation contre les lois extraterritoriales américaines, permettant l’accès aux données stockées par des entreprises américaines. L’entreprise européenne défend l’introduction de critères de souveraineté dans l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).
À la suite de l’adoption du Cybersecurity Act, l’Agence de l’Union européenne pour la cybersécurité (ENISA) a formé un groupe de travail dédié à la création d’un schéma européen de certification de cybersécurité pour les services cloud, connu sous le nom d’EUCS. En cours d’élaboration, ce schéma vise à harmoniser les certifications nationales de sécurité du cloud en Europe, assurant une transparence claire et une protection équivalente, contribuant à créer un environnement propice pour relever les défis liés aux législations extraterritoriales.
L’EUCS pourrait supplanter les labels nationaux tels que SecNumCloud en France, C5 en Allemagne, etc. Cependant, la question demeure fortement politique en raison de la pression des acteurs économiques américains et de la compétition pour une réputation de confiance. Pour remédier à cette situation, une certification à plusieurs niveaux est envisagée, dont le niveau le plus élevé serait équivalent à SecNumCloud 3.2. Les entreprises devront toutefois demeurer vigilantes, en portant une attention particulière au niveau de qualification de la certification du cloud qu’elles choisiront, et ne pas se fier uniquement à la certification européenne en tant que telle.
OVHCloud, étoilée de la certification SecNumCloud 3.2, rayonne tel un flambeau dans le ciel du Cloud européen, où sécurité et confiance reflètent son engagement. Sa contribution active à l’équilibre entre sécurité et droits fondamentaux éclaire le chemin. Au cœur de cette constellation digitale, la sauvegarde des données et la confiance dans les services cloud demeurent impérieuses, appelant à une harmonie mondiale pour ériger des normes claires et durables.
Emma Wack Wendling
Master 2 Cyberjustice – Promotion 2023/2024
Sources :
- CyberSecurity Act
- Qualification SecNumCloud de l’ANSSI pour les prestataires de services cloudCloud au centre : la doctrine de l’État | AFNOR
- SecNumCloud pour les fournisseurs de services Cloud | cyber.gouv.fr
- L’ANSSI actualise le référentiel SecNumCloud | cyber.gouv.fr
- Prestataires de services d’informatique en nuage (SecNumCloud) référentiel d’exigences | cyber.gouv.fr
- EUCS – Cloud Services Scheme | ENISA
- Souveraineté : le directeur d’OVHcloud trouve que l’UE manque de « courage » | euractiv.fr
- La Commission européenne soumet les transferts de données entre l’UE et les États-Unis à un troisième examen par la CJUE | noyb.eu
- Cloud au centre : la doctrine de l’État | numerique.gouv.fr
- SecNumCloud: Le visa de sécurité ANSSI | OVHcloud
- L’espionnage massif des Européens réautorisé par la loi américaine FISA | Portail de l’IE.