Le fournisseur de cloud du groupe Iliad (Free) a annoncé son entrée dans le processus de qualification SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour son offre « Scaleway Cloud ».
L’annonce a été faite mercredi 8 janvier dans un communiqué. Déjà certifiée ISO 27001 et HDS (Hébergeur de données de santé), l’offre Scaleway Cloud de Scaleway est actuellement au jalon J0 de la qualification SecNumCloud. Pour rappel, celle-ci vise à certifier les services de cloud computing répondant aux critères les plus stricts en matière de sécurité et de protection des données. L’entreprise espère pouvoir qualifier son service d’ici la fin de l’année.
Pour l’heure, l’ANSSI a commencé à examiner le cadre de l’offre ainsi qu’à effectuer une analyse sur le respect des processus et des principes de sécurité, tels que l’application des principes de traçabilité et la conformité aux niveaux d’exigence requis pour les secteurs les plus sensibles (santé, données sensibles du service public, etc.), ainsi que la garantie d’immunité face aux lois extraterritoriales.
Une immunité aux lois extraterritoriales menacée
Certains pays s’autorisent en effet, sous certaines conditions et le plus souvent au nom de la sécurité nationale, à collecter des données d’étrangers situés hors de leurs frontières. En avril 2024, par exemple, le Sénat des États-Unis a voté un prolongement de deux ans de la section 702 du Foreign Intelligence Surveillance Act (FISA). Ce texte autorise les agences de renseignement à collecter les données d’étrangers situés hors des États-Unis, à partir d’infrastructures numériques, dont le cloud fait partie.
À l’échelle européenne, un schéma de certification uniformisé des services cloud en Europe (EUCS) est actuellement en discussion à Bruxelles, mais il fait l’objet de vives critiques de la part d’opérateurs cloud européens. En effet, la dernière version du texte a été allégée du critère d’immunité face aux lois extraterritoriales telles que le FISA ou le Cloud Act, à travers plusieurs exigences comme l’obligation pour les fournisseurs étrangers de créer une coentreprise et de coopérer avec une entreprise européenne pour le traitement et l’hébergement des données localement. La France a d’ores et déjà prévenu qu’en cas de retrait de ce critère, elle espère pouvoir maintenir son référentiel SecNumCloud.