“Cloud de confiance” : un nouveau label pour protéger les données cloud des entreprises

Mis à jour le 27/09/2022

Le marché du Cloud Computing s’est considérablement développé. Il constitue un enjeu majeur pour les prochaines décennies. Grâce au cloud, les utilisateurs, entreprises et particuliers accèdent à leurs données depuis n’importe quel appareil. Le « Cloud de Confiance » constitue un label créé par le gouvernement français en mai 2021 en vue de protéger les données cloud des entreprises françaises.

Qu’est-ce que le label Cloud de Confiance ?

En mai 2021, le gouvernement français a annoncé la création du label « Cloud de Confiance ». Son but est de renforcer la sécurité des données des entreprises en sécurisant les services du cloud au sein de l’Europe. Il n’y a rien d’étonnant au fait que le gouvernement souhaite mieux protéger les données cloud des entreprises. En effet, elles sont jusqu’ici bien largement soumises aux lois extraterritoriales des entreprises américaines qui constituent la majorité des acteurs du cloud. Difficile aujourd’hui de rivaliser avec ces firmes.

En l’absence d’un cloud souverain, finalement abandonné après divers échecs, le choix du gouvernement s’est finalement porté sur un cloud encadré. Ainsi, la délivrance d’un label « Cloud de confiance » permettrait de certifier la fiabilité des prestataires qui répondent à un cahier des charges bien précis. Tous les acteurs qui obtiendront ce label seront juridiquement soumis aux normes françaises et européennes. Cela vaudra aussi pour les solutions proposées par les GAFAM puisqu’ils auront la possibilité d’obtenir ce label.

A l’origine du label Cloud de Confiance : SecNumCloud

Pour rédiger le cahier des charges de ce nouveau label, l’ANSSI (I’agence nationale de la sécurité des systèmes d’information) s’appuie principalement sur le référentiel de SecNumCloud. Cette qualification, créée en 2016, définit des exigences et bonnes pratiques en matière de management de la sécurité de l’information. Elle intègre aussi les normes à respecter par les fournisseurs Cloud. Une première révision de ce dispositif en 2018 a permis à l’ANSSI de rendre cette certification compatible avec le RGPD.

Jusqu’au 15 novembre 2021, il était possible de transmettre ses observations et remarques à l’ANSSI pour mettre à jour ce référentiel. La dernière version, nommée 3.2 inclut ces propositions. Datée du 8 mars 2022, elle est mise à la disposition de tous.

Ce qui change concrètement avec ce label Cloud de Confiance

En plus de se conformer au référentiel et aux exigences du SecNumCloud, les prestataires qui obtiendront le précieux sésame auront d’autres obligations, notamment géographiques. Ils devront effectivement justifier :

• D’un hébergement en France
• D’une gestion de services Cloud depuis un pays européen
• D’être une société européenne, détenue par des acteurs européens.

Et pour les offres cloud françaises qui proposeraient des logiciels américains sous licence tels qu’Amazon ou Microsoft, elles pourraient obtenir ce label. C’est un cas de figure intéressant pour les entreprises françaises souhaitant continuer à utiliser ces outils. Elles pourront continuer à le faire, tout en hébergeant leurs données sur des solutions cloud sécurisées. Certains acteurs du cloud n’ont d’ailleurs pas attendu une annonce du gouvernement pour se rapprocher. C’est le cas notamment de Google avec OVH Cloud ou Microsoft avec Orange et Capgemini.

Précisions sur le Cloud de Confiance suite à une étude publiée à l’été 2022

Une étude publiée cet été par le cabinet d’avocats américain Greenberg Traurig LLP vient contredire la promesse faite par le gouvernement français. Ce label «Cloud de confiance» ne serait finalement pas si protecteur des entreprises européennes qu’il n’y parait. En effet, selon cette étude néerlandaise, les entités de l’Union européenne restent dans la plupart des cas soumises au Cloud Act américain et donc aux lois américaines. A titre d’exemple, à partir du moment où une entité de l’UE propose des services ou produits aux États-Unis – même si elle n’est pas présente sur ce territoire – elle peut être soumise aux lois américaines. En d’autres termes, si les États-Unis désirent obtenir une donnée, il est fort probable qu’ils en aient l’autorisation. Ce Cloud de Confiance ne parait alors plus si rassurant.

Réglementer le cloud et définir des prestataires de confiance font partie des mesures mises en place par le gouvernement français pour protéger les données cloud des entreprises. Il existe néanmoins d’autres solution pour stocker et sécuriser ses données.

Source photo de couverture : Canva