Par Patrice Barbedette, CEO d’EasyVista
Tous les organismes publics et les entreprises françaises qui cherchent à externaliser leurs services informatiques ou à stocker leurs données sensibles dans le cloud sont directement concernés par la récente évolution législative française en faveur de la souveraineté numérique, formalisée notamment dans le plan d’investissement France 2030 et la Doctrine « Cloud au centre » renforcée par la circulaire Borne en mai 2023.
Le plan d’investissement France 2030 a ainsi défini la maîtrise de technologies numériques souveraines et sûres comme un levier de sa réussite du Plan. Les contours de cette règlementation sont néanmoins méconnus, malgré des risques juridiques et stratégiques réels. En particulier, certaines règlementations extraterritoriales (par exemple, FISA aux Etats-Unis) obligent les entreprises de droit américain à communiquer les données de leurs clients si une agence fédérale en fait la demande.
Si le réflexe des entreprises et des administrations est quelquefois de se concentrer sur la sécurité physique des infrastructures, la sécurité juridique des données doit également devenir une priorité et à ce titre être anticipée par les DSI et les Directions Juridiques.
L’obligation de recourir à SecNumCloud vient ainsi apporter un gage de sécurité supplémentaire et un cadre de confiance aux données administrées, en les mettant à l’abri des lois extraterritoriales et de transferts non autorisés en dehors de l’Union Européenne.
Cette exigence forte se traduit également dans l’orientation de la commande publique. Ainsi, l’avis N°2023-06 de la Commission Supérieure du Numérique et des Postes (CSNP - Commission Sénatoriale et Parlementaire) du
12 septembre 2023 sur la souveraineté numérique a conduit une étude sur les quatre points suivants :
- La définition de la souveraineté numérique,
- Les conditions de mise en œuvre de notre souveraineté numérique,
- La mise en œuvre de la qualification SecNumCloud au sein de l’Etat et des collectivités territoriales,
- Les leviers des marchés publics et de l’émergence des clouds de confiance pour garantir une souveraineté numérique.
Sont concernés en premier lieu par cette règlementation les Services et opérateurs de l’Etat traitant des données sensibles, protégées par la loi ou relevant de missions essentielles de l’Etat, mais également les organismes sous sa tutelle traitant des données non sensibles, ainsi que les collectivités et services de l’administration territoriale, les universités, les OSE et OIV (dont les obligations seront amenées à évoluer avec la transposition de la directive NIS2), les EPIC ou les entités détenues par l’Etat. Ces entités ont désormais l’obligation d’intégrer ces recommandations et obligations dans le cadre de leur plan de transformation numérique et il n'est pas à exclure que certaines d’entre elles aient à revoir leurs choix passés au regard de ces évolutions.
La souveraineté numérique : un enjeu essentiel pour les organisations
La sécurité des données est en effet devenue une préoccupation majeure pour les entreprises et les gouvernements du monde entier. Depuis l’adoption du RGPD en 2018, l’Union Européenne a mis en place un cadre de référence mondialement reconnu pour la protection des données personnelles, sujet sur lequel la France est fer de lance. A ce titre, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a mis en place ce référentiel de sécurité pour les fournisseurs de services cloud, appelé SecNumCloud. Une certification qui garantit la qualification et la sécurité des prestataires de services informatiques et de leur solution cloud, portée par les autorités françaises et européennes.
Cette certification, devenue (alternativement avec les services infonuagiques propriétaires de l’Etat) une obligation pour les services de l’Etat traitant des données sensibles ou protégées, répond aux exigences de souveraineté numérique mises en avant par les autorités françaises.
La souveraineté numérique peut être définie comme « la capacité pour un État de conserver un accès autonome à son espace numérique et aux services numériques liés à l’exercice de sa souveraineté, en sécurisant son autonomie et l’accès aux contenus qu’il a défini comme stratégiques, ainsi que les données qu’il juge stratégiques et/ou sensibles. »
Les exigences de souveraineté numérique sont désormais portées au plus haut niveau de l’Etat, afin de garantir une stratégie de souveraineté capable de soutenir l’émergence de champions numériques français et européens. Le cloud fait partie des six technologies critiques identifiées à ce titre.
Le rapport de la commission parlementaire n°4299 sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne » a, entre autres, formulé les recommandations suivantes : faire confiance à nos entreprises technologiques (faire de nos entreprises technologiques une priorité nationale, privilégier, en matière de commande publique, le recours aux solutions d’acteurs technologiques français ou européens, renforcer le soutien public à destination de la French Tech, etc.) et mettre la souveraineté numérique au cœur de l’action publique (faire de l’État le moteur d’une politique de souveraineté numérique assumée, créer un ministère du numérique, doté d’une administration et de moyens propres, favoriser la circulation des compétences numériques au sein du secteur public, etc.).
Ces textes mettent en exergue une orientation formelle de la commande publique en faveur de la souveraineté numérique.
SecNumCloud : Présentation & Statut
Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » a pour objectif de promouvoir, d’enrichir et d’améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information.
SecNumCloud est donc un label de sécurité décerné aux fournisseurs de services cloud qui respectent des exigences spécifiques en matière de sécurité, de confidentialité et de résilience. Il garantit que les infrastructures, les logiciels et les procédures de ces fournisseurs sont conformes aux normes de sécurité françaises. Ce référentiel, qui permet de distinguer les opérateurs cloud respectant les bonnes pratiques en matière de sécurité, s’appuie sur la norme ISO 27001, avec de nouvelles exigences spécifiques, notamment des critères stricts d’isolation juridique.
SecNumCloud a été mis à jour avec sa version 3.2 en 2022, afin d’intégrer notamment l’ensemble des mesures de protection vis-à-vis des lois extraterritoriales et ainsi d’offrir une garantie que les données personnelles des citoyens et des entreprises ne seront pas transférées à des autorités étrangères sans raison légitime. Elle permet donc de préserver la souveraineté de l’espace numérique français, et de se prémunir contre l’espionnage industriel.
Qui peut obtenir la certification SecNumCloud ?
Obtenir la certification SecNumCloud nécessite de passer par un processus d’évaluation mené par l’ANSSI. Les critères pour obtenir la certification incluent :
- La protection des données : pour mettre en place des mesures de sécurité pour garantir la confidentialité, l’intégrité et la disponibilité des données.
- La continuité d’activité : pour disposer de plans de reprise d’activité et de sauvegarde des données pour assurer la continuité des services en cas de sinistre ou d’incident.
- La gestion des risques : pour identifier, évaluer et traiter les risques liés à la sécurité des systèmes d’information, ainsi que mettre en place des mécanismes de contrôle et de suivi.
- La conformité légale : pour se conformer aux réglementations en vigueur, notamment en matière de protection des données personnelles (comme le RGPD) et de cybersécurité.
Les services SecNumCloud sont destinés aux organisations, qu’elles soient publiques ou privées, soucieuses de bénéficier d’un service de qualité, souverain et sécurisé.
De plus, les solutions certifiées offrent une grande réversibilité. Ce principe indique qu’une organisation cliente peut aisément changer de fournisseur, facilitant ainsi l’accès et le transfert des données vers un autre service.
La liste des entreprises qui disposent de SecNumCloud est accessible sur le site de l’ANSSI. À noter que la certification n’est valable que pour une durée de trois ans. Après cette période, les prestataires doivent réaliser des audits de surveillance tous les 18 mois pour maintenir leur certification.
Pourquoi travailler avec une entreprise certifiée ?
Le respect du référentiel SecNumCloud est souvent une obligation interne pour certaines organisations publiques ou des entreprises privées travaillant dans des secteurs stratégiques ou manipulant des données sensibles. Il est ainsi appuyé par la doctrine « Cloud au centre » qui confirme l’obligation de passer par un cloud de confiance pour les services d’Etat traitant des données sensibles ou protégées, et dont l’impact d’une violation peut être grave. Cela permet d’assurer un niveau de sécurité et de protection des données personnelles supplémentaire, en conformité avec le RGPD.
La CSNP recommande également à l’ensemble des administrations, des collectivités territoriales, des établissements de santé et des universités (recherche) d’avoir recours à des hébergeurs de confiance pour les données sensibles ou nécessitant une protection particulière. L’hébergement mais également le traitement des données doit être garanti et protégé contre les lois extraterritoriales.
Les avantages sont nombreux pour les organisations clientes :
- Sécurité renforcée : les entreprises certifiées SecNumCloud sont soumises à des exigences strictes en matière de sécurité, ce qui signifie que leurs infrastructures, leurs logiciels et leurs procédures sont conçus pour protéger les données et les systèmes d’information face aux failles de sécurité et d’incidents liés aux cyberattaques.
- Conformité réglementaire : c’est une garantie supplémentaire pour s’assurer que le traitement des données est effectué dans les règles de l’art, et au-delà.
- Continuité d’activité : pour que les clients bénéficient d’une plus grande tranquillité d’esprit quant à la disponibilité et la fiabilité des services cloud.
- Confiance et avantage compétitif : pour les usages et les clients des organisations qui travaillent avec un prestataire certifié, la démarche démontre un engagement envers la sécurité numérique et la capacité à gérer efficacement les risques de sécurité informatique.
En raison désormais de l’orientation formelle de la commande publique vers la souveraineté numérique, et d’une responsabilité conjointe des acteurs dans ce domaine, SecNumCloud est une qualification permettant de garantir la conformité, la disponibilité et l’intégrité des données traitées, et donc un des facteurs de succès d’un projet de transformation numérique porté par des solutions évolutives.