Tout le monde connaît aujourd’hui la qualification SecNumCloud délivrée par l’Anssi et qui permet d’identifier des offres souveraines de services cloud justifiant d’un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles. Dans la catégorie des fournisseurs de services cloud, seule une poignée d’acteurs (Cloud Temple, Oodrive, Outscale, OVH et Worldlinea obtenu une des certifications SecNumCloud. Il faut dire que l’obtention de cette certification est une démarche longue et coûteuse, qui mobilise un grand nombre de personnes. Stanislas de Rémur, président d’Oodrive, en témoigne : « Chaque année, vous devez élever le niveau, être meilleur que l’année précédente, car nous avons des audits tous les ans. Chez nous, cela mobilise beaucoup de personnes et de départements. À l’issue de l’audit, vous corrigez en priorité les écarts majeurs et dans un second temps, vous avez plus de temps pour corriger les écarts mineurs. » De ce constat, cette qualification SecNumCloud est donc difficilement accessible aux plus modestes fournisseurs de solutions IaaS, mais surtout SaaS et PaaS. « Pour être qualifié SecNumCloud, Jamespot, qui n’est plus une start-up, mobilise actuellement trois collaborateurs au minimum sur trois ans, c’est très chronophage pour analyser les recommandations et ses différentes annexes sur plus de 80 pages. Pour une plus petite structure que la nôtre, c’est presque mission impossible », admet Alain Garnier, président et co-fondateur de Jamespot, qui met d’ailleurs en avant la certification SecNumCloud d’Outscale qu’il hérite indirectement puisque ce dernier est l’hébergeur de ses solutions, mais qui n’a pas en théorie de valeur pour l’éditeur.   

Une enveloppe de 3,5 millions d’euros  

Afin d’accompagner justement les plus petites entreprises souhaitant être qualifiées SecNumCloud, l’État a débloqué, il y a quelques mois, une enveloppe de 3,5 millions d’euros issue de France 2030. Le guichet d’accès au dispositif a sans surprise été confié à Bpifrance. Est-ce suffisant ? Sûrement pas, mais c’est un coup de pouce… Déjà 21 sociétés (sur un total de 40 prétendants) ont été sélectionnées pour bénéficier de cette enveloppe de 3,5 M€. Parmi les entreprises lauréates dévoilées lors du dernier FIC par Vincent Strubel, le patron de l’Anssi, on retrouve des services PaaS pour la valorisation des données et la mise en production d’applications comme Cleyrop, Dawex, Clever Cloud, Cloud Temple ou encore des éditeurs de solutions SaaS (Sekoia.io, Xwiki ou CitéConnect). Devant le succès de cette première vague, le gouvernement a d’ailleurs lancé un second appel à candidatures, les sociétés intéressées avaient jusqu’au 19 juillet 2023 pour candidater. Ce second appel a ciblé en priorité des PME et start-ups qui souhaitent commercialiser une offre qualifiée SecNumCloud sous 2 ans.   

Certains fournisseurs de cloud souverain aident aussi leur écosystème   

Hormis cette initiative de l’État, certains acteurs comme Outscale, Cloud Temple ou encore OVHcloud souhaitent aussi aider les acteurs plus modestes comme les éditeurs de logiciels en mode SaaS à bénéficier de ce fameux sésame. Pour ce faire, Outscale a donc créé Path to a trusted cloud qui est un parcours de présélection optimisé pour les éditeurs éligibles à décrocher SecNumCloud, lesquels s’appuieront bien sûr sur l’IaaS d’Outscale. De son côté OVHcloud aide aussi ses partenaires dans leur démarche d’obtention du label via son programme Open Trusted Cloud. « Ce programme rassemble notre écosystème, lequel s’appuie sur nos infrastructures qualifiées SecNumCloud. En outre, c’est aussi un vrai argument pour un éditeur de bénéficier indirectement d’une infrastructure certifiée SecNumCloud même si l’offre logicielle ne l’est pas. Le CNRS a par exemple effectué un appel d’offre pour l’hébergement SAP en s’appuyant sur SecNumCloud », précise Caroline Comet-Fraigneau, vice-présidente chez OVHCloud France. Enfin, Cloud Temple se veut aussi être un facilitateur avec son programme Trusted Cloud Accelerator; une dizaine d’éditeurs sont déjà engagés selon Laure Martin-Tervonen, directrice de la marque et des affaires publiques chez le fournisseur.