Face au risque cyber, cap sur le cloud de confiance

Très nombreux sont les acteurs, publics et privés, à stocker leurs données informatiques dans des serveurs distants, opérés par des entreprises autres qu’eux-mêmes. C’est le principe du cloud computing : applications et données ne se trouvent plus sur un ordinateur déterminé, chez leur vrai propriétaire, mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés, situés parfois dans des pays étrangers. Le marché des échanges entre propriétaires de fichiers et hébergeurs s’est développé très rapidement, atteignant 534 milliards d’euros en 2024 tous segments confondus, selon Databridge.

Pour ce prix, le service a tout intérêt à être performant ! Et dans ce milieu, performance se dit sécurité. On ne vous apprend rien : dans notre société digitalisée et ultra-connectée, le risque cyber est partout. Et il touche tout le monde, les gros comme les petits, le public comme le privé. Dans son état de la menace informatique publié le 20 février 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) met en garde contre « de nouvelles opportunités d’attaques et problématiques de sécurité » pour les organisations qui utilisent le cloud. Elle a notamment identifié que les services de cloud pouvaient être utilisés comme infrastructures d’attaques, qu’il s’agisse de louer de l’infrastructure elle-même chez des opérateurs de cloud, ou d’utiliser des plateformes grand public comme lieu de stockage et d’accès à des codes malveillants ou d’exfiltration de données volées. Ces nouvelles pratiques compliquent la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes , avertit l’agence.

SecNumCloud : une qualification valable trois ans

Cette nécessité d’opposer un rempart à ces menaces est la raison d’être de SecNumCloud. Ce signe de reconnaissance imaginé en 2016 par l’ANSSI qualifie les services de cloud computing déployant un filet de sécurité à mailles très resserrées. AFNOR Certification est l’un des organismes habilités à le décerner . C’est une démarche très engageante. La qualification, valable trois ans, procure un avantage concurrentiel au prestataire, qui se voit crédibilisé dans le fait d’offrir un cloud de confiance. Cela fait toute la différence quand on répond à un appel d’offres, décrit Thomas Sanjullian, responsable d’évaluation des services de confiance chez AFNOR Certification. A plus forte raison lorsque les données stockées sont des données sensibles, voire des données régaliennes de l’Etat. En France, la loi SREN de mai 2024 consacre la doctrine gouvernementale « cloud au centre ». Son article 31 dispose que pour ce type de données, le donneur d’ordres public veille à ce que le service de cloud choisi mette en œuvre des critères stricts de sécurité et de protection, notamment pour se prémunir de tout accès par des autorités publiques d’Etats tiers non autorisés par le droit de l’Union européenne.

L’ISO/IEC 27017 en enquête publique

Dans la grande famille des normes volontaires ISO/IEC 27000 sur la sécurité de l’information, demandez l’ISO/IEC 27017 ! Ce texte de janvier 2021 doit paraître dans une nouvelle version mi-2026. Il fait office de code de pratique pour les contrôles de sécurité des services de cloud, contrôles fondés sur l’ISO/IEC 27002. Il comporte une annexe dite A avec des mesures à ajouter à la déclaration d’applicabilité du SMSI. Et comme toute norme, la prochaine version passe par une enquête publique. Vous pouvez y participer jusqu’au 18 avril 2025.

Cela tombe bien : SecNumCloud, dans sa version actuelle 3.2, requiert que les serveurs soient géographiquement situés en France ou dans l’Union européenne, et opérés par des acteurs à capitaux majoritairement européens. De quoi offrir une protection contre les demandes d’accéder aux données émises par des instances non européennes. « Typiquement, un juge américain invoquant le Patriot Act n’obtient pas satisfaction », illustre Thomas Sanjullian. Comme la loi demande à ce que le recours à un prestataire offrant un service estampillé « de confiance » soit obligatoire pour les données sensibles et les données d’État, SecNumCloud constitue sur ce point une assurance de premier choix. Ce signe distinctif a pour lui le fait d’être porté par l’ANSSI, or seules les offres de services possédant un visa de sécurité émis par cette agence peuvent se revendiquer « de confiance ». On précise ici que SecNumCloud reconnaît une offre de cloud spécifique (IaaS, CaaS, PaaS, SaaS), et non un fournisseur.

EUCS : le risque d’un nivellement par le bas

Le sujet est à ce point sensible que la déclinaison européenne de SecNumCloud, à l’échelle de l’Union, fait encore débat, six ans après la publication du Cybersecurity Act, le règlement européen sur la cybersécurité. Ce pendant communautaire, baptisé EUCS, prévoit une harmonisation des référentiels de sécurité pour les services de cloud computing, avec un système d’équivalences entre pays et de niveaux d’assurance sécurité, du moins élevé au plus élevé. C’est là où le bât blesse : SecNumCloud équivaudrait au niveau le plus élevé, mais coexisterait avec des dispositifs moins robustes, correspondant aux niveaux d’assurance inférieurs. Une sorte de nivellement par le bas qui porterait un coup rude contre le parti pris français d’un dispositif très exigeant sur l’extra-territorialité. « La filiale espagnole d’un géant américain pourrait obtenir une certification en Espagne qui lui donne potentiellement accès à la qualification SecNumCloud en France », redoute Thomas Sanjullian.

En février 2025, les discussions étaient toujours bloquées au sein des Vingt-Sept. En attendant, SecNumCloud continue son petit bonhomme de chemin en France et joue son rôle de passeport pour un cloud « souverain, robuste et légitime ». Vous souhaitez en savoir plus ? Rendez-vous au Forum InCyber à Lille le 3 avril 2025, où Thomas Sanjullian tiendra une conférence intitulée « EUCS : le déclin d’une ambition européenne ».

Vous pouvez aussi vous inscrire à nos formations AFNOR Compétences sur le sujet .