Ce troisième épisode de la série dédiée à la souveraineté numérique explore SecNumCloud, un label français qui se positionne à l’intersection de la conformité et de la gestion des risques. Julien Levrard partage l’expérience d’OVHcloud dans l’obtention et la mise en œuvre de cette qualification, offrant une perspective unique sur un référentiel européen plus complet que les frameworks américains traditionnels.

SecNumCloud est une qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’agence française en charge de la cybersécurité. Créé il y a environ 7-8 ans, ce référentiel définit un standard de sécurité pour les fournisseurs de services cloud destinés à l’administration, aux grandes entreprises et aux acteurs stratégiques français.

Cette qualification s’inscrit dans un écosystème plus large de “visas de sécurité” développés par l’ANSSI, couvrant différents types d’acteurs : prestataires d’audit, de maintenance informatique, sociétés de services, etc. L’objectif est de créer un écosystème de confiance pour l’environnement économique français, aligné sur les exigences de cybersécurité nationales.

Lors du lancement de SecNumCloud, le marché hésitait face à ce nouveau référentiel jugé complexe et dense. La souveraineté numérique n’était pas encore un enjeu prioritaire, et l’industrie imaginait le cloud comme un marché dominé par quelques grands acteurs internationaux proposant des services standardisés.

OVHcloud a pris le risque de se positionner sur ce référentiel dès ses débuts, devenant le 4ème acteur français qualifié. Cette décision s’est révélée stratégique avec l’évolution du contexte géopolitique, qui a rendu la souveraineté et la maîtrise technologique de plus en plus cruciales.

OVHcloud a débuté avec un produit d’environnement de virtualisation privatif basé sur les technologies VMware. Ce choix répondait à un large éventail de cas d’usage et était particulièrement adapté aux entreprises moyennes et grandes, les plus exigeantes en matière de sécurité.

Face aux limitations du premier produit, OVHcloud a développé Bare Metal Pod, un environnement de datacenter dédié avec des serveurs affectés aux clients et des outils d’orchestration sophistiqués. Cette approche offre plus de flexibilité pour déployer l’ensemble du catalogue dans un contexte qualifié SecNumCloud.

Le référentiel SecNumCloud compte environ 280 exigences principales, mais en réalité, le nombre total d’exigences à respecter avoisine les 2000 points de contrôle une fois intégrées toutes les références aux guides et bonnes pratiques de l’ANSSI. Cette densité rend l’appropriation du framework extrêmement complexe et chronophage.

L’audit SecNumCloud mobilise quatre auditeurs pendant trois semaines chaque année, représentant près de 60 heures d’audit. Cette intensité nécessite une organisation logistique importante et mobilise de nombreux opérationnels pour présenter les preuves de conformité.

Contrairement aux frameworks purement conformité, SecNumCloud intègre une dimension d’analyse des risques. Les auditeurs peuvent refuser une qualification même si tous les points de conformité sont respectés, si l’architecture ou les choix de design présentent des risques jugés inacceptables.

Cette approche nécessite des négociations approfondies sur les choix d’implémentation : isolation des plans de contrôle et de données, monitoring des interfaces sécurisées, traitement des logs et métadonnées, etc. L’ANSSI impose une liste de risques obligatoires à traiter, tout en laissant la possibilité d’ajouter des risques spécifiques au service proposé.

La particularité de SecNumCloud réside dans l’exigence d’autonomie complète. L’environnement d’exploitation des produits SecNumCloud constitue un système d’information entièrement séparé du reste d’OVHcloud. Jusqu’aux postes de travail des administrateurs, tout est dupliqué dans un contexte complètement autonome.

Cette séparation implique la reconstruction complète de toute l’infrastructure : monitoring, observabilité, gestion des droits, bastions, VPN, etc. Aucune dépendance avec le système d’information principal n’est autorisée, ce qui représente un investissement colossal en temps, matériel et ressources humaines.

Cette approche crée des défis uniques. Par exemple, supporter un client nécessite des informations désensibilisées extraites du monde SecNumCloud via des “secure gateways” spécialement conçues. Ces mécanismes de filtrage et d’anonymisation doivent être justifiés par une analyse de risques approfondie.

Au niveau européen, plusieurs référentiels coexistent : C5 en Allemagne, ENS en Espagne, ACN en Italie. L’ENISA travaille sur EUCS, un référentiel européen unifié, mais les négociations butent sur les aspects de souveraineté, les États membres n’ayant pas tous la même approche politique sur ces questions.

OVHcloud a conçu ses plateformes SecNumCloud pour être réplicables dans d’autres juridictions. Le cœur du produit et ses caractéristiques principales sont pensés pour la maîtrise locale et l’indépendance, avec des adaptations possibles selon les exigences locales.

Des discussions sont en cours pour déployer ce modèle au Canada et en Asie-Pacifique, répondant à une demande croissante de souveraineté numérique dans ces régions.

OVHcloud propose également une version on-premises de sa plateforme, pouvant fonctionner dans les datacenters clients. Cette solution peut être opérée à distance par OVHcloud ou en totale autonomie par les équipes clients, offrant un niveau d’indépendance maximal.

Le marché évolue d’un modèle “one size fits all” vers une personnalisation des offres cloud. Les clients recherchent désormais des standards techniques et de consommation, tout en intégrant leurs contraintes spécifiques : écologie, autonomie stratégique, coûts, souveraineté.

Cette tendance positionne les acteurs comme OVHcloud sur un terrain alternatif, proposant des fonctionnalités cloud standard avec des caractéristiques additionnelles (maîtrise, souveraineté, respect environnemental) adaptées aux besoins, culture et contexte spécifiques de chaque client.

SecNumCloud représente un modèle pionnier de souveraineté numérique, plus exigeant que les frameworks traditionnels mais offrant un niveau de contrôle et d’indépendance unique. Bien que complexe et coûteux à mettre en œuvre, ce référentiel anticipe l’évolution géopolitique et les attentes croissantes en matière de souveraineté technologique.

L’expérience d’OVHcloud démontre qu’il est possible de concilier standards techniques internationaux et exigences de souveraineté, ouvrant la voie à un nouvel équilibre dans l’écosystème cloud mondial. Cette approche pourrait bien définir l’avenir du cloud computing, où la normalisation technique cohabite avec la diversification géopolitique et culturelle des services.