Cloud
Philippe Miltin (Outscale) : « L’espionnage industriel est une réalité quotidienne »
Par Thierry Derouet, publié le 12 décembre 2023
Premier à obtenir la certification SecNumCloud 3.2 délivrée par l’ANSSI, Outscale annonce que ses GPU utilisés pour l’intelligence artificielle sont également conformes à la norme « SecNumCloud ».
Philippe Miltin, PDG de l’opérateur cloud de Dassault Systèmes Outscale, admet que l’investissement dans le cloud souverain est conséquent. Cette démarche s’inscrit étroitement dans le cadre de l’obtention de la qualification “SecNumCloud” délivrée par l’ANSSI, un label qui n’est pas octroyé à la légère, mais qui est le fruit d’un processus exigeant et onéreux. Cette qualification est essentielle pour garantir que leurs services de cloud public répondent aux exigences de sécurité les plus strictes de la dernière version du référentiel, offrant ainsi une protection contre les lois extraterritoriales.
La certification ne fait pas tout mais …
En plus de SecNumCloud, Outscale détient des certifications clés telles que HDS et ISO (27001, 27017, 27018). Ces certifications sont renforcées par l’adhésion au code de conduite CISPE pour la protection des données et la conformité au TISAX, standard d’évaluation de la sécurité de l’information reconnu dans l’industrie automobile. Ces labels et normes divers témoignent de l’engagement d’Outscale en matière de sécurité et de conformité des données, répondant à un éventail étendu de besoins en cybersécurité à travers différents secteurs.
Des mesures techniques pour faire face à une réalité
Pour Édouard Camoin, vice-président de la Résilience chez Outscale, l’obtention de ces certifications dépasse largement le cadre formel ; elle reflète l’engagement profond de son entreprise à maintenir un haut niveau de cybersécurité. Outscale a historiquement mis en place des mesures techniques pour réduire au maximum les risques de fuite de données, s’appuyant sur la norme ISO 27001, avec pour but de « garantir que les données restent là où elles ont été initialement déposées ». Il reconnaît également que la possession de la certification SecNumCloud 3.2 ne suffit pas à elle seule, compte tenu de la diversité des réglementations nationales. Edouard Camoin met aussi en avant que, grâce au référentiel 3.2, l’ANSSI surveille à la fois la réalité de l’actionnariat de l’entité qui gère les données comme de celle qui possède les clés de chiffrement. Il souligne enfin qu’un fournisseur de cloud se doit d’exceller autant en matière de disponibilité qu’en sauvegarde des données.
La souveraineté, un enjeu
Une souveraineté qui passe aussi pour Philippe Miltin par une piqûre de rappel : « L’espionnage industriel est une réalité quotidienne ». Et d’établir une analogie entre les nations détentrices d’armes nucléaires, parfaitement conscientes de l’importance de leur souveraineté, et celles pour qui cette notion semble encore secondaire, notamment en Europe. Il souligne ainsi l’urgence pour ces dernières de saisir pleinement l’enjeu que représente la souveraineté dans le domaine du numérique.
À LIRE AUSSI :
Chez Outscale, une IA forcément SecNumCloud
Mais cette certification ne doit pas non plus devenir un concours de beauté. Car, au-delà de la certification des offres de cloud privé, c’est également sur celles de PaaS que l’attention devra se porter prochainement. Que penser, d’ailleurs, de l’information révélée par Outscale selon laquelle leurs offres d’IA sont également certifiées « SecNumCloud » ? Cela rappelle la prose involontaire de Monsieur Jourdain lorsqu’il s’agit d’intégrer des GPU au sein d’une infrastructure déjà certifiée…
Un référentiel peut en cacher un autre
Lorsqu’un autre opérateur comme Cloud Temple a obtenu sa qualification début 2022, le référentiel SecNumCloud était encore dans sa précédente version. Le processus proposé par l’ANSSI fait que la qualification est valable trois ans (avec des audits annuels de surveillance). La seule vraie différence entre les versions 3.1 et 3.2 réside effectivement dans l’ajout de critères de souveraineté, au sens où cette immunité aux lois extraterritoriales doit protéger des données qui, avec la montée en puissance de l’IA, deviennent de plus en plus un enjeu autant sensible qu’économique. Un opérateur tel que Cloud Temple, détenu par le groupe français Neurones, est déjà conforme à ce référentiel évolutif. Mais Cloud Temple attendra 2025 pour être « 3.2 ». Sébastien Lescop aime déjà à dire qu’ils sont « SNC 3.2 Ready » ! Et Sébastien Lescop d’être fair-play : « Chez Outscale, ils ont raison, ce sont bien les premiers à disposer d’une telle qualification. Quand nous voyons certains acteurs annoncer être SecNumCloud sans pouvoir l’être avant deux ans… »
À LIRE AUSSI :
L’EUCS à venir bien plus essentiel que le reste
Si la circulaire de la doctrine dite « du cloud au centre », initiée par le gouvernement de Jean Castex et actualisée depuis par celui d’Élisabeth Borne, où il est précisé le recours — ou non — à des solutions SecNumCloud, a été au centre de toutes les attentions, c’est désormais au tour de l’EUCS (European Cybersecurity Certification Scheme for Cloud Services) de l’être. Car, disposer d’une vision commune européenne de ce que l’on est en droit d’attendre d’un fournisseur de cloud permettra aux acteurs ayant misé sur cette certification d’apporter de la confiance dans un univers cloud souvent malmené par des annonces parfois prématurées, comme celles d’opérateurs tels que SENS, ou dénuées de bon sens comme chez Oracle. Philippe Miltin l’admet : « Nous n’avons pas l’intention de remplacer les grands hyperscalers. Nous souhaitons être complémentaires ; l’hybride est la solution, et l’offre souveraine est un complément ». Un complément désormais incontournable pour assurer une souveraineté non négociable !
À LIRE AUSSI :
Acteurs SecNumCloud qualifiés
Cloud Temple : jusqu’au 15/03/2025 (Secure Temple Iaas)
Oodrive : jusqu’au 22/01/2025 (work, meet, work share SaaS)
Outscale : jusqu’au 30/11/2026 (IaaS Clloud on Demand Iaas 3.2)
OVH : jusqu’au 23/12/2023 (Private Cloud Iaas)
Worldline : jusqu’au 22/10/2024 (Worldline Cloud Services – Secured Iaas)
Offres SecNumCloud en cours de qualification rendues publiques*
Cegedim.cloud (CegNumCloud Secured IaaS)
Cloud Solutions (WIMI Enterprises et WIMI Armoured)
Idnomic (ID-PKI en mode SaaS)
Index Education (Service SaaS (Pronote, Pronote primaire, HyperPlanning et Edt)
Orange Business (Cloud Avenue Cloud Privé Virtuel – IaaS)
Whaller (Whaller DONJON SaaS)
* Certains acteurs n’ont pas donné leur accord pour figurer dans cette liste