Il y a quelques jours, l’ANSSI annonçait la version 3.2 de son référentiel en matière sécurité informatique à destination des prestataires de services cloud, SecNumCloud. Une version très attendue par le marché. David Chassan, directeur de la stratégie de 3DS Outscale, premier prestataire à avoir obtenu la qualification SecNumCloud fin 2019, et secrétaire général d’Hexatrust, nous explique pourquoi.

Channelnews : Quelles sont les principales évolutions de cette version 3.2.a du référenciel SecNumCloud ?

David Chassan : J’en vois deux principales. La première acte la prise en compte dans SecNumCloud d’éléments de réglementation – et non plus seulement techniques – qui permettent de se protéger des lois extra-européennes de type Cloud Act. Les prestataires dont le siège social n’est pas établi au sein d’un État de l’Union européenne mais également ceux dépendant capitalistiquement d’acteurs non européens ne sont désormais plus éligibles à la qualification. Il suffit par exemple que leur capital social et leurs droits de vote soient collectivement détenus à plus de 39% par des entités non européennes pour être écartés du jeu.

L’autre évolution majeure concerne ce que l’ANSSI appelle le principe de composition. Auparavant, pour qu’un éditeur puisse obtenir la qualification SecNumCloud, il fallait qu’il qualifie ses composants logiciels mais également l’infrastructure sous-jacente qui les supporte. Désormais, selon le principe de composition, un éditeur pourra se contenter de ne qualifier que son logiciel dans la mesure où celui-ci tourne sur une infrastructure déjà qualifiée SecNumCloud.

Channelnews : Il n’y a que trois prestataires de services cloud qualifiés SecNumCloud aujourd’hui : 3DS Outscale, OVH et Worldline, et un éditeur SaaS : Oodrive. Pourquoi si peu d’entreprises qualifiées ?

David Chassan : SecNumCloud est une qualification exigeante. De fait, elle n’est pas facile à « décrocher ». C’est un réel processus de qualification, réalisé par un tiers de confiance. Elle ne se décrète pas. Elle ne s’achète pas sur étagère. Il faut avoir une certaine maturité en ayant déjà passé l’ISO 27001 par exemple. Si l’entreprise candidate part de zéro, alors le chemin peut être long et l’expérience vue comme onéreuse. En ce qui concerne 3DS Outscale, douze mois auront été nécessaires pour être qualifié. Et encore, nous étions rompus aux certifications puisque nous étions déjà ISO 27001, ISO 27017, ISO 27018, Hébergeur de données de santé (HDS) et Lucie 26000.

Channelnews : Pensez-vous que cette nouvelle version va susciter des vocations ? À l’inverse, ne craignez-vous pas qu’elle disqualifie certains acteurs ?

David Chassan : que ce soit chez Hexatrust (dont je suis secrétaire général) ou chez 3DS Outscale, nous accueillons favorablement cette nouvelle version. En effet, elle encourage de nouveaux acteurs à se tourner vers la qualification. À deux titres. D’abord, elle clarifie les services cloud, notamment le CaaS (container as a service) et le PaaS (Platform as a service). Ensuite, en vertu du principe de composition, elle allège les démarches pour les éditeurs SaaS, qui peuvent se baser sur des socles cloud déjà qualifiés SecNumCloud.

Je ne pense donc pas que cette nouvelle version puisse décourager… bien au contraire. Nous sommes des industriels. Par conséquent, plus c’est clair, plus c’est défini, meilleure peut être la prise de décision, car c’est un investissement. Mais il est clair qu’en intégrant des précisions réglementaires pour se prémunir de lois extra-territoriales comme le Cloud Act, il va être désormais très compliqué, voire impossible, pour certains acteurs de s’engager dans cette démarche de qualification.

Channelnews : 3DS Outscale est qualifié SecNumCloud depuis décembre 2019. Est-ce que cela vous a apporté des clients ou des projets ?

David Chassan : Clairement oui. Les clients demandent cette qualification qui représente le haut niveau de certification en Europe. SecNumCloud nous a amené 150 nouveaux projets dans le secteur public en 2021. Il y a aussi des projets dans le secteur privé, venant notamment d’opérateurs d’importance vitale (OIV) ou d’acteurs ayant des applications particulièrement stratégiques. Mais ils ne représentent que 20% des clients de notre cloud qualifié SecNumCloud, contre 80% de clients du secteur public.

Channelnews : Cette croissance des projets se reflète-elle dans la croissance de la société et ses effectifs ?

David Chassan : Oui. 3DS Outscale a enregistré une croissance de l’ordre de 30% en 2021, ce qui devrait nous amener autour de 44 M€ de chiffre d’affaires pour l’année écoulée (l’audit des comptes n’est pas définitif). L’effectif a atteint 190 personnes à fin décembre 2021. 40 postes sont actuellement ouverts et nous devrions recruter une centaine de personnes en 2022.