Vincent Strubel, directeur général de l'ANSSI, publie sur LinkedIn un article de clarification suite aux débats générés par la qualification SecNumCloud d'une offre cloud "hybride" utilisant une technologie américaine opérée par un prestataire européen.

SecNumCloud est une qualification délivrée par l'ANSSI attestant qu'un service cloud présente un haut niveau de sécurité adapté aux usages sensibles de l'État et des entreprises françaises. Le processus d'évaluation vérifie plus de 1200 exigences couvrant les risques techniques, juridiques et organisationnels.

Concernant le droit extraterritorial, SecNumCloud garantit que les données ne sont pas soumises à des dispositions non-européennes contre lesquelles les clients n'auraient pas de recours. L'exigence d'un prestataire européen (siège social et capitalisation), l'inaccessibilité des données aux sous-traitants non-européens et l'autonomie d'exploitation protègent contre les injonctions du CLOUD Act ou des lois FISA américaines. Le scénario du "kill switch" est également couvert : un prestataire européen qualifié ne peut être contraint de couper ses services en raison de sanctions ou restrictions d'exportation.

Strubel reconnaît néanmoins une limitation importante : "SecNumCloud ne signifie pas l'absence de dépendance." Aucun acteur ne peut "forker et maintenir en autarcie toute la stack technologique du cloud, depuis le noyau Linux jusqu'à Openstack." Une coupure d'accès aux fournisseurs non-européens entraînerait une dégradation progressive de la sécurité.

La localisation des données au sein de l'Union européenne est obligatoire, soumettant les infrastructures physiques au droit européen et facilitant l'intervention du CERT-FR et autres services étatiques en cas d'incident.

Sur le plan technique, les cyberattaques constituent "la menace la plus tangible pesant sur les usages sensibles du cloud." Le référentiel impose un cloisonnement fort entre clients, une chaîne d'administration isolée, une gestion sécurisée des mises à jour et un chiffrement systématique des données. Le risque humain est couvert par un chapitre entier sur la gestion des ressources humaines.

En réponse aux questions fréquentes, Strubel précise que les offres hybrides satisfont exactement les mêmes exigences que les autres offres qualifiées. Il utilise une métaphore éclairante : avoir uniquement des critères capitalistiques ou uniquement des critères techniques reviendrait à avoir une maison "avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau."

SecNumCloud répond à deux des trois enjeux de souveraineté numérique (ne pas être victime facile, appliquer ses propres règles) mais ne crée pas de solutions technologiques alternatives. C'est un outil de cybersécurité formalisé, pas une politique industrielle.