Depuis mars 2022, le référentiel SecNumCloud de l’Anssi est disponible dans sa version 3.2 qui ajoute de nouvelles exigences, notamment sur des catégories de services cloud comme les conteneurs en tant que service (CaaS), mais surtout qui intègre des critères de protection vis-à-vis des lois extra-européennes comme le Fisa (Foreign Intelligence Surveillance Act) et le Cloud Act. Deux cadres législatifs américains considérés par beaucoup comme des menaces pour les données européennes. D’ailleurs, avec cette version 3.2 et cette exigence de ne pas être soumis aux lois extra-européennes, est né en 2022 le label Cloud de confiance voulu par Bruno Le Maire.  

De par ses exigences, l’Anssi, qui n’a pas souhaité répondre à notre demande d’interview, estime néanmoins -dans un document que nous a fourni le service de communication - que le cadre SecNumCloud 3.2 s’inscrit en pleine cohérence avec les travaux européens menés dans l’élaboration d’une certification européenne relative aux prestataires de cloud (EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services). En effet, depuis 2019, la France serait fortement impliquée dans l’élaboration de cette future labellisation européenne EUCS. De son côté, la représentante de la CNIL Marie-Laure Denis rappelle aussi dans un communiqué que le référentiel SecNumCloud 3.2 fournit une réponse qui est conforme by design aux exigences de la Cour de justice de l’Union européenne (CJUE) en matière de protection des données dans le cloud, et que la CNIL recommande ainsi l’usage de ce référentiel pour les responsables de traitement qui veulent garantir un haut niveau de protection des données personnelles.   

Cela dit, la version 3.2 de SecNumCloud n’interdit pas en soi l’utilisation des solutions américaines. Prenons ainsi l’exemple de Bleu (Capgemini, Orange et Microsoft) et de S3NS (Thales et Google) qui font appel à des acteurs américains et comptent bien être qualifiés SecNumCloud (v3.2) en jouant sur la limite des 24 % du capital autorisés par l’Anssi. En effet, selon le document publié par l’agence de sécurité sur les exigences SecNumCloud 3.2, figure l’immunité au droit extracommunautaire qui stipule que le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement individuellement détenus à plus de 24 %.  

SecNumCloud 3.2, un cadre très restrictif pour un niveau 3+ d’EUCS  

À terme, il est possible que la certification EUCS remplace définitivement les labels SecNumCloud/Cloud de confiance et les autres labels européens comme C5 en Allemagne ou encore ENS en Espagne. Il faut savoir que le label SecNumCloud est l’un des plus exigeants en Europe, bien plus que C5 et ENS. Par exemple, OCI, le cloud américain d’Oracle est certifié C5 et ENS alors qu’il ne sera probablement jamais certifié SecNumCloud. 

Malgré tout, reste à savoir précisément quels critères seront retenus pour la certification EUCS d’autant que les grands acteurs américains mettent une certaine pression sur les pouvoirs publics européens. L’EUCS, plus « laxiste », ouvrira-t-elle à une souveraineté plus large des éditeurs américains sur le sol européen ou, plus « restrictive », protégera-t-elle en priorité les acteurs européens ? Pour Stanislas de Rémur, président d’Oodrive, ce n’est plus un sujet technique, mais politique. « Est-ce que nous voulons en Europe protéger les données sensibles ? C’est en tout cas la position de la France, mais quelle est celle des autres pays ? » L’histoire récente de la nomination avortée de l’Américaine Fiona Scott Morton comme chef économiste de la direction générale de la Concurrence, au sein de la Commission européenne a montré une fois de plus la mésentente et le flou qui règnent chez les hauts fonctionnaires à Bruxelles.   

Pour contenter tout le monde, on se dirige donc vers un EUCS à plusieurs niveaux selon David Chassan, directeur de la stratégie chez Outscale. Un premier niveau avec des exigences proches de la norme ISO 27001, un deuxième niveau équivalent d’un C5 en Allemagne, un troisième niveau équivalent à SecNumCloud en intégrant aussi un « niveau 3 + » qui correspond aux fortes exigences de la version 3.2 de SecNumCloud. Avec tous ces niveaux, les entreprises devront toutefois porter une attention particulière à la lecture du niveau engagé, car le marketing, très puissant chez certains acteurs, ne manquera pas de spécifier « Cloud qualifié EUCS », mais avec en petits caractères le vrai niveau engagé, un peu comme les contrats d’assurance dotés d’annexes ou de lignes en police réduite que peu de personnes lisent.