OVHcloud rejoint le club des SecNumCloud

Spread the love
  • Yum

OVHcloud rejoint le club des SecNumCloud

C’est une annonce qu’on voyait venir : présent depuis plusieurs mois dans la liste des candidats en attente de validation, la qualification prochaine « d’un gros hébergeur du Nord de la France » avait été évoquée par le directeur de l’Anssi à l’occasion des Assises. On attendait depuis que le fameux hébergeur achève les dernières étapes du processus.

Dans son communiqué, OVHcloud indique ainsi que cette qualification SecNumCloud concerne son offre Hosted Private Cloud. Comme nous l’expliquait Julien Levrard, RSSI groupe OVHcloud, à l’occasion du OVHcloud Summit au mois de novembre, la tâche n’avait rien d’aisé, même pour un groupe de la taille d’OVHcloud : « c’est un chantier colossal, qui a représenté plus de deux ans de travail. Ce n’était pas tant la mise en conformité sur le plan technique qui nous posait problème, la principale problématique, pour nous, c’était de garantir des opérations souveraines ».

publicité

Sécurité et souveraineté dans le même bateau

En effet, la question se posait tout particulièrement pour OVHcloud, l’opérateur ayant ouvert une filiale outre-Atlantique depuis plusieurs années. Le credo d’OVHcloud, défendu dans nos colonnes par le prédécesseur de Julien Levrard, était de miser sur une séparation complète de ses structures, tant d’un point de vue technique qu’organisationnel. Les installations de sa filiale basée aux Etats-Unis sont notamment soumises à la réglementation américaine du Cloud Act, qui permet aux autorités américaines (ainsi qu’aux services de renseignement) d’accéder sans trop de peine aux données, tant que celles-ci sont hébergées sur le territoire américain. Mais l’opérateur OVHcloud dispose également de datacenters basés au Canada, en Australie et à Singapour.

Une situation qui n’est pas, au premier abord, forcément compatible avec les nombreuses recommandations du référentiel SecNumCloud. « Il y a deux aspects importants dans SecNumCloud : d’un coté un aspect sécurité, qui permet de garantir un certain niveau de sécurité à l’état de l’art. De l’autre coté, le référentiel implique également un aspect souveraineté, qui garantit que nous n’avons pas de sous-traitant hors de l’Union européenne. » Pour obtenir le visa de l’Anssi, il a donc fallu opérer un détourage précis des activités concernées par cette qualification, et s’assurer que l’offre Hosted Private Cloud répond aux exigences de sécurité et de territorialité de l’Anssi en la matière. C’est pour répondre à ces exigences que l’offre Hosted Private Cloud est hébergée sur deux datacenters français, à Roubaix et Strasbourg.

OVHcloud multiplie les certifications

Pour OVHcloud, le but de cette qualification est avant tout de se démarquer sur la maturité de sa sécurité numérique, et pas uniquement viser le marché des opérateurs d’importance vitale (OIV) : « SecNumCloud est une réponse pour certains OIV, mais ce n’est pas un blanc-seing. Ça donne néanmoins un avantage certain, parce que c’est probablement un des référentiels les plus poussés au monde. Le fait d’être audité par l’Anssi, c’est non négligeable. Pour nos clients, OIV ou qui ont des problématiques équivalentes, on propose une grille de lecture lisible et compréhensible ». Si seule l’offre Hosted Private Cloud est reconnue officiellement comme répondant aux critères de SecNumCloud, le reste d’OVHcloud a bénéficié des investissements mis en œuvre dans le processus de qualification, indique le RSSI.

L’obtention de cette qualification s’inscrit d’ailleurs dans une stratégie de multiplication des certifications pour OVHcloud : « on est dans une logique visant à couvrir progressivement tous nos produits sur les certifications ISO 27001, ISO 27701 et HDS (hébergement de données de santé). On travaille sur l’extension de ces certifications à un socle beaucoup plus large de produits, afin de couvrir d’ici deux ans l’intégralité de nos produits ».

En parallèle, OVHcloud travaille également sur d’autres référentiels à l’étranger : les certifications AgID en Italie, ENS en Espagne, et C5 en Allemagne. Car chaque pays a ses propres exigences en la matière et, si beaucoup se recoupent, l’obtention d’une qualification SecNumCloud en France ne vous vaudra qu’un succès d’estime dès lors que vous passez la frontière. Pour un acteur international comme OVHcloud, la mise en œuvre d’une qualification SecNumCloud européenne serait donc idéale : « on est plus que pour, on travaille avec l’Enisa sur ces sujets, en tant qu’OVHcloud mais aussi au niveau du CISPE afin de définir les bonnes pratiques de l’industrie. Aujourd’hui on a une maîtrise de ces sujets qui nous permet d’aborder ces différents référentiels, mais évidemment on pousse en faveur de l’uniformisation ».

Leave a Reply

%d bloggers like this: