LA TRIBUNE- Lors de la journée du 12 septembre, il semblerait que personne n’ait cité le concept de cloud de confiance. Comment faut-il l’interpréter ?
MARC DARMON- Bruno Le Maire a réaffirmé le SecNumCloud comme un des 3 piliers de la stratégie de l’État dans son discours. Tout le monde a bien compris que la souveraineté n’était pas l’autarcie. Pour peu que les règles soient claires, notamment les règles de sécurité telles que SecNumCloud, les offres certifiées SecNumCloud ont toutes vocation à s’appeler cloud de confiance. Cela a été confirmé plusieurs fois et il n’y a aucun débat. Le directeur général de S3NS était présent durant cette journée, qui a été l’occasion de lancer la filière cloud de confiance ou numérique de confiance, une nouvelle filière à laquelle Thales est heureux de participer.
Il est vrai que le dossier du cloud déchaîne les passions. Le cloud de confiance existe-t-il encore dans l’esprit des pouvoirs publics ?
Absolument. C’est très clair et il faut être très précis parce que les simplifications génèrent parfois des contresens. La notion de cloud de confiance est une énorme avancée pour la protection des données des entreprises et des administrations. Thales est naturellement très attaché aux enjeux de souveraineté. Il est évident que la présence de logiciel ou matériel américain dans une offre de cloud ne la disqualifie pas forcément car, sinon, cela disqualifierait aussi tous les fournisseurs de cloud français. La souveraineté se mesure à l’aune de critères précis pré-établis par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Lesquels ?
En l’occurrence, une certification est à obtenir pour le cloud de confiance, qui s’appelle SecNumCloud V3.2. Celle-ci répond à des critères établis qu’il est éminemment complexe de remplir, y compris dans le domaine de la gouvernance. Le SecNumCloud V3.2 a été conçu au départ pour protéger les entreprises françaises du Cloud Act et les risques de fuites de données, selon la volonté de l’ANSSI. L’offre que développe S3NS, fruit du partenariat entre Thales et Google Cloud, répondra à cette certification.
Mais peut-on faire aussi bien que les Américains et surtout sans eux ?
Premièrement, il est impossible aujourd’hui de construire une solution cloud 100% pure européenne. A différents niveaux (microprocesseurs, “operating systems”, réseau, virtualisation…), des acteurs américains proposent des solutions particulièrement performantes. Tous les acteurs français utilisent d’ailleurs naturellement aujourd’hui des composants américains dans leurs solutions. On pourrait rêver qu’à budget infini, nous développions en France l’équivalent de Google ou de Microsoft. Toutefois, atteindre leur niveau de performance nécessiterait des budgets colossaux, nous n’avons aucun intérêt à nous mentir. La souveraineté, c’est comme la stratégie, il faut choisir ses combats et ce qu’on veut maîtriser. Les entreprises françaises ont des offres très performantes mais certains clients demandent plus. Sur certains services, pour construire une offre de souveraineté dans le cloud, il faut pouvoir réutiliser des briques que nous n’avons pas forcément et intervenir là où nous avons une valeur ajoutée et un intérêt de souveraineté : nous avons fait le choix de la sécurité des données, nous maîtrisons l’ensemble des technologies permettant d’avoir le niveau de sécurité tel qu’il est défini par SecNumCloud.
Pourtant, l’étude commandée à un cabinet d’avocats américain par le ministère de la Justice des Pays-Bas sur le Cloud Act conclut que les entités européennes peuvent être soumises à cette loi extraterritoriale même si leur siège social n’est pas aux Etats-Unis ?
Cette analyse juridique est conforme à notre propre analyse juridique. Elle est également conforme aux analyses juridiques qui ont été publiées par d’autres cabinets. Il n’y a pas de débat. Tout le monde arrive aux mêmes conclusions : il ne suffit pas de ne pas être américain pour ne pas être éligible au Cloud Act ou aux autres lois extra-territoriales américaines. Pour autant, avec l’ensemble de nos dispositions dans le cadre de notre offre S3NS, nous répondons bien aux critères de cette étude néerlandaise qui doit être lue dans son intégralité. Notre analyse confirme qu’avec toutes les mesures que nous prenons, pas seulement la nationalité des salariés et de la société S3NS, mais aussi toutes les autres mesures de protection, nous sommes très bien protégés sur le plan juridique, technique et opérationnel. Il n’y a aucun débat juridique.
Quelles sont ces autres mesures de protection ?
Pour être certifiés SecNumCloud, nous devons mettre en place une protection juridique en termes de nationalité et de gouvernance mais aussi une protection physique, une protection logique et une protection opérationnelle, soit les quatre protections exigées par SecNumCloud. Les études disent que pour être immune au Cloud Act, il faut donc à la fois être une entité de droit européen avec des employés européens mais aussi que nos partenaires américains n’aient pas accès aux données. C’est absolument le cas pour le cloud de confiance de S3NS : ni les filiales américaines de Thales, ni nos partenaires américains n’ont accès aux données. Et, naturellement, utiliser des logiciels américains ne nous disqualifie pas non plus pour être éligible à la certification SecNumCloud. Ce serait sinon également le cas de toutes les offres, même françaises, qui utilisent des solutions américaines de VMware, de Cisco, NetAppetc… Thales répondra bien aux critères tels qu’ils sont énoncés dans l’étude juridique néerlandaise ou dans les autres.
Etes-vous vraiment sûr de répondre à tous les critères du cabinet d’expertise néerlandais…
…Oui, le cabinet néerlandais demande à ce que tout doit être absolument contrôlé dans un pays non américain et que rien ne puisse sortir, précisément : « The U.S. company must not have possession, custody, or control over the data thatisstored in the EU ». Il demande également que les entités américaines avec lesquelles S3NS travaille n’aient pas accès aux données stockées. C’est bien le cas pour le cloud de confiance de S3NS.
La justice américaine peut-elle vous demander directement des données qu’elle suspecte ?
S3NS est une entité de droit français, qui n’aura pas d’activité aux Etats-Unis ni d’employé américain. La solution technique se conformera à la certification SecNumCloud. Les données seront même chiffrées par S3NS avec du matériel certifié ANSSI, dans une logique de protection à plusieurs couches.
Si pour faire pression sur un groupe comme Thales ou Capgemini, la justice américaine emprisonnait un dirigeant comme elle l’a fait avec Frédéric Pierucci dans l’affaire Alstom, qu’est-ce qui se passerait ?
Les lois extraterritoriales américaines n’ont pas attendu l’avènement du cloud pour être appliquées. Si la justice américaine émet des demandes auprès d’une entreprise française, ces demandes – qui pour certains peuvent être qualifiés de « pression » – sont les mêmes pour toutes les entreprises, y compris celles qui se disent souveraines et françaises.
Comment pouvez-vous assurer qu’il n’y aura pas de porte dérobée dans vos offres ?
Les contrôles nécessaires exigés par les critères de SecNumCloud nous permettront de nous assurer qu’il n’y aura pas de problème. Au moment des mises à jour reçues en continu de Google, nous mettrons en place un contrôle avant de les mettre en production et nous aurons la capacité d’auditer le code source. Nous procéderons également à un « dépoussiérage » du matériel, que nous avons l’habitude de faire chez Thales avec une entité certifiée. Nous répondrons à tous ces critères qui, je le rappelle, ne sont pas des critères de niveau classifié de défense. Pour ce niveau de confidentialité de défense, Thales propose également des clouds privés à des très hauts niveaux de classification.L’offre de Cloud de confiance de S3NSest une offre de cloud public de niveau commercial avec un niveau de protection SecNumCloud suffisant pour résister à une fuite de données massive. La France a aujourd’hui la règlementation la plus élevée en Europe avec SecNumCloud. Nous sommes tous motivés, y compris les industriels français, à faire en sorte que l’Europe s’aligne vers le haut – SecNumCloud- plutôt que vers le bas en allégeant les contraintes de SecNumCloud. Nous sommes pour que les contraintes SecNumCloud soient les plus élevées et les plus protectrices possibles.
A combien de critères de l’ANSSI devez-vous vous conformer ?
L’ANSSI a fixé plus de 270 critères, qui relèvent de dispositifs techniques, opérationnels – qui fait quoi – et juridiques. Nous les avons tous étudiés. Nous avons présenté à l’ANSSI comment nous comptons répondre à tous ces critères. L’ANSSI nous a répondu que si nous nous y conformions, nous pourrions être certifiés. Nous construisons actuellement cette architecture et nous continuons d’échanger avec l’ANSSI pour valider les choix que nous faisons. Du point de vue administratif, nous avons créé une société de droit français, S3NS, complètement contrôlée par Thales avec des salariés français dans des locaux et des data centers maîtrisés et contrôlés par S3NS. Nous allons ajouter dans notre offre cloud de confiance des solutions de sécurité comme le chiffrement des données, la protection des identités et la supervision des intervenants. S3NS opérera elle-même cette solution, avec plusieurs dizaines d’experts. S3NS contrôlera également les mises à jour, avec une capacité d’auditer tout le code source quand nécessaire. Grâce à toutes ces dispositions, qui forment une protection à plusieurs couches, nous répondons aux plus de 270 critères de l’ANSSI.
Au bout de combien de temps, l’ANSSI a-t-elle donné son feu vert pour le développement de votre solution ?
Nous avons eu énormément d’échanges avec l’ANSSI quand nous avons présenté nos premières propositions, y compris des refus jusqu’à trouver un ensemble de solutions qui a répondu à leurs attentes. Ce résultat a nécessité un an de travail de nos équipes. Le processus de certification SecNumCloud est très exigeant, et par ricochet, les demandes de l’ANSSI le sont également et à juste titre. Pour Google, c’est d’ailleurs loin d’être neutre : leurs ingénieurs doivent procéder à un « refactoring » très important de leur logiciel. Si nous mettons toutes ces dispositions en œuvre, y compris le contrôle d’identité, la gestion des clés par utilisateur, la cryptographie, la séparation des réseaux, la propriété des infrastructures, nous pourrons être certifiés SecNumCloud.
Cette architecture façonnée par tous ces critères reste-t-elle un service attractif ?
Oui, car Thales et Google investissent de façon significative en amont afin de permettre la compétitivité de la solution Cloud de confiance. Nous nous sommes assurés que ces investissements en valaient la peine tout en proposant une offre très attractive en termes de prix. Nous avons chiffré et évalué cette architecture en utilisant de nombreux produits de Thales et d’autres produits français.
Quand pouvez-vous avoir la certification SecNumCloud ?
La solution sera disponible fin 2024, le temps de réaliser trois chantiers majeurs : les évolutions de logiciels engagées par Google pour bien assurer les séparations, nos investissements dans les data centers et les systèmes de protection, et le recrutement et la formation des opérateurs. Puis, il restera la dernière phase de la certification, qui consiste en des tests sur cette infrastructure.
Comment convaincre l’écosystème français que Thales mais aussi Capgemini ou Orange ne jouent pas contre lui
Notre offre fera vivre deux écosystèmes français très importants : un écosystème applicatif et les distributeurs intégrateurs. Le premier pourra faire tourner des services logiciels en SaaS (Software as a service) sur le cloud de confiance de S3NS. Beaucoup d’entreprises françaises nous ont déjà demandé si leur logiciel pourrait tourner sur S3NS. Certains logiciels de cybersécurité seront même potentiellement utilisés au sein même de notre solution, en complément des logiciels Thales. L’autre écosystème, qui est composé de nombreuses grandes entreprises de services numériques, va distribuer notre offre et y apporter de la valeur ajoutée française. S3NS animera donc un écosystème français autour de son offre de cloud public de confiance. Nous développons une valeur ajoutée française importante tout en reprenant la plateforme cloud de Google, qui offre des services différenciants, des services que certains clients veulent absolument. Par ailleurs, S3NS va créer plusieurs centaines d’emplois en France.
Concurrencez-vous les offres de cloud français ?
Clairement non. Notre ambition est plutôt d’offrir des services aux clients qui, sans notre offre, auraient choisi un cloud public d’un GAFAM non certifié. Il y a de la place pour tout le monde. Notre proposition de valeur, encore une fois, est de proposer le meilleur des deux mondes, ce que par définition ni les offres de cloud français, ni les offres des GAFAM ne proposent.
Aujourd’hui, que font les entreprises françaises en matière de cloud ?
Les GAFAM récupèrent une très grande part de marché de ce que les entreprises françaises et les administrations mettent sur le cloud, avec ce que cela implique de risque de soumission au Cloud Act ou à d’autres réglementations extraterritoriales. Si elles souhaitent absolument bénéficier des services des GAFAM, c’est parce qu’elles considèrent y trouver les performances dont elles ont besoin. Par exemple, Google Cloud est réputé pour la performance et la scalabilité de ses services autour de la donnée, qui sont les mêmes services que ceux qui font tourner les applications grand public de Google (Maps, Youtube, etc). Aujourd’hui, les GAFAM ont une part de marché importante. J’espère que S3NS captera une partie de ce marché déjà dans les mains des GAFAM pour leur offrir un niveau de sécurité supérieur.
Est-ce que l’offre Numpost annoncée en fin de semaine dernière change la donne pour vous ? Comment accueillez-vous ce nouvel acteur ?
C’est une très bonne nouvelle. La formalisation de la certification « Cloud de Confiance » permet en effet à un écosystème de se développer. Il est très positif de voir que des offres se créent pour répondre à des segments de marché différents, c’est le but que nous avions dans le cadre de la Filière Industrielle française « Industrie de Sécurité et de Cybersécurité » que j’ai l’honneur de présider. La plupart des entreprises clientes ont une stratégie « multi-cloud », qui leur permet de s’appuyer sur plusieurs solutions de cloud selon la criticité de leurs données et de leurs applications. Le marché est en telle croissance, qu’il y a de la place pour beaucoup d’acteurs.
—————————————————————————-
Voici la déclaration du groupe Thales à la suite de la revendication d’une attaque de LockBit 3.0 :
« Nous avons eu connaissance d’une allégation de vol de données par ‘LockBit 3.0 ‘ ciblant des données qui appartiendraient au groupe Thales. Le groupe d’extorsion et de ransomware LockBit 3.0 a annoncé vouloir publier les données le 7 Novembre 2022 à 06H29 UTC. A cette date, nous n’avons identifié aucune demande de rançon, toutefois, nous suivons avec attention chaque allégation liée à des vols de données. Une équipe dédiée d’experts en sécurité enquête systématiquement sur ce type de situation, la sécurité des données étant notre priorité ».