L'association Thales-Google certifiée « cloud de confiance » par les autorités françaises
La certification SecNumCloud 3.2 empêchera le personnel de Google d'accéder aux systèmes de S3NS, filiale française de Thales associée à Google Cloud.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a accordé sa certification la plus stricte en matière de souveraineté du cloud à une coentreprise entre le groupe français de défense Thales et le géant américain du cloud Google. C’est la première fois qu’un service soutenu par des capitaux étrangers franchit cette étape.
La certification SecNumCloud 3.2 est largement considérée comme la norme de sécurité cloud souveraine la plus rigoureuse d’Europe. Elle est conçue pour servir de bouclier contre la portée extraterritoriale des lois américaines et chinoises qui pourraient autrement contraindre l’accès à des données sensibles. Grâce à cette certification, la coentreprise Thales-Google Cloud, connue sous le nom de S3NS, accède aux marchés lucratifs de l’administration publique, de la santé et de la défense en France, selon un communiqué de presse de la société.
La solution cloud S3NS « intègre les services IaaS et PaaS les plus avancés de Google Cloud, notamment dans les domaines des données et de l’intelligence artificielle, tout en répondant aux exigences les plus strictes en matière de protection et de résilience en France et dans les pays européens », a détaillé l’entreprise.
Le processus de certification garantit que le personnel de Google n’aura jamais accès aux systèmes S3NS, a indiqué Hélène Bringer, présidente de S3NS, lors d’une conférence de presse.
Cependant, le PDG Cyprien Falque, qui avait déjà qualifié les services S3NS de souverains avant même la certification, a reconnu que dans les cas nécessitant une maintenance dépassant l’expertise de S3NS, le personnel de Google pourrait apporter son aide par vidéoconférence, sans pour autant avoir accès au système.
Implications pour l’UE
La décision de l’ANSSI risque d’alimenter le débat à Bruxelles autour du « Eurostack », alors que la Commission européenne prépare son projet de loi sur le développement du cloud et de l’IA (CAIDA), qui pourrait introduire une approche fortement protectionniste à travers un cadre de souveraineté du cloud au niveau européen.
L’ANSSI et son homologue allemand, le BSI, envisagent également un « score de souveraineté » qui pourrait alimenter le projet CAIDA.
Mais pousser les hyperscalers américains tels qu’Amazon, Google et Microsoft à créer des coentreprises avec des entreprises européennes ne serait pas une solution adéquate pour la souveraineté du cloud, estime Alexandre Roure, responsable des politiques chez CCIA Europe, le lobby technologique américain.
« Ce serait une approche similaire à celles adoptées par l’Inde et la Chine, des modèles contre lesquels l’UE et ses alliés se battent depuis des décennies », a-t-il rappelé.
SecNumCloud 3.2 exige que les entreprises certifiées disposent de leur siège social dans l’UE et limite les participations étrangères au capital à moins de 39 %. À ce jour, outre S3NS, neuf autres entreprises françaises ont été certifiées.
