Dans un secteur du cloud en pleine effervescence, l’obtention de certifications de sécurité constitue un jalon décisif. La filiale de Thales, S3ns, vient de franchir une étape majeure en décrochant la qualification SecNumCloud 3.2, délivrée par l’Agence nationale de la sécurité des systèmes d’information. Cette reconnaissance, la plus exigeante en France, positionne l’entreprise comme un acteur incontournable du cloud de confiance et ouvre de nouvelles perspectives pour les organisations publiques et privées soucieuses de la protection de leurs données sensibles.
Certification SecNumCloud 3.2 : une avancée pour S3ns
L’obtention de cette qualification n’est pas une simple formalité administrative. Elle est l’aboutissement d’un processus long et rigoureux qui valide le plus haut niveau de sécurité et de souveraineté pour une offre de services cloud.
Qu’est-ce que la qualification SecNumCloud ?
Le référentiel SecNumCloud, élaboré par l’ANSSI, est le standard de facto pour les fournisseurs de services cloud souhaitant héberger les données les plus sensibles de l’État français et des opérateurs d’importance vitale (OIV). Il impose un ensemble de règles techniques, organisationnelles et juridiques très strictes. L’objectif est de garantir non seulement la sécurité informatique des infrastructures, mais aussi leur immunité face aux lois extraterritoriales, notamment américaines. Un service qualifié SecNumCloud assure que les données sont hébergées et opérées exclusivement en France, par du personnel habilité et une entité de droit français.
Les spécificités de la version 3.2
La version 3.2 du référentiel, sur laquelle S3ns a été qualifiée, renforce encore ces exigences. Elle met un accent particulier sur :
- La protection contre les menaces persistantes avancées (APT).
- La sécurité de la chaîne d’approvisionnement (supply chain), en s’assurant que tous les composants logiciels et matériels sont maîtrisés.
- La résilience opérationnelle et la capacité à maintenir le service même en cas de crise majeure.
- Des exigences juridiques accrues pour garantir que l’opérateur est à l’abri de toute ingérence non européenne.
Cette version est considérée comme la plus aboutie pour répondre aux enjeux actuels de souveraineté numérique.
Le processus d’obtention pour S3ns
Pour S3ns, la co-entreprise formée par Thales et Google Cloud, le chemin vers la qualification a été particulièrement scruté. Il a fallu démontrer que la technologie de Google Cloud pouvait être opérée dans un environnement totalement étanche et sous le contrôle exclusif de S3ns en France. Le processus a impliqué des audits approfondis de l’architecture technique, des procédures de sécurité, des contrats juridiques et des profils des administrateurs. Cette réussite valide le modèle d’une collaboration entre un géant technologique américain et un expert européen de la cybersécurité pour créer une offre souveraine.
Cette validation technique et juridique est bien plus qu’un succès pour S3ns ; elle s’inscrit au cœur de la stratégie de sa maison mère, Thales, pour qui la confiance est un actif fondamental.
Pourquoi la certification SecNumCloud est cruciale pour Thales
Pour un groupe comme Thales, dont l’activité repose sur la gestion de systèmes critiques, cette certification est un levier stratégique majeur qui renforce sa position sur le marché de la cybersécurité et de la défense.
Un gage de confiance pour les clients stratégiques
Thales sert des clients dont les besoins en sécurité sont par nature non négociables : ministères des Armées, de l’Intérieur, opérateurs d’infrastructures critiques (énergie, transport), industries de la défense et de l’aérospatiale. Pour ces acteurs, la qualification SecNumCloud n’est pas une option, mais une condition sine qua non pour envisager l’externalisation de leurs données et applications vers le cloud. En proposant une offre qualifiée via S3ns, Thales répond directement à cette exigence et peut accompagner ses clients historiques dans leur transformation numérique en toute sécurité.
Le positionnement dans le « cloud de confiance »
La certification SecNumCloud est le sésame pour intégrer le cercle très fermé du « cloud de confiance », une doctrine promue par le gouvernement français pour garantir la souveraineté numérique du pays. S3ns rejoint ainsi d’autres acteurs qualifiés et se positionne comme une alternative crédible aux offres des hyperscalers américains opérées directement par eux. Ce label permet à Thales de se différencier clairement sur le marché et de capter une part significative de la demande des administrations et des OIV.
Synergies avec les activités de cybersécurité de Thales
L’offre de S3ns ne sort pas de nulle part. Elle s’intègre parfaitement dans le portefeuille de solutions de cybersécurité de Thales. Le groupe peut désormais proposer une approche de sécurité de bout en bout, allant de la protection des terminaux et des réseaux jusqu’à l’hébergement sécurisé des données dans un cloud souverain. Cette synergie permet de créer des offres intégrées, où la supervision de la sécurité (via les SOC de Thales) et le chiffrement des données s’appuient sur une infrastructure de confiance, créant ainsi un cercle vertueux pour les clients.
L’arrivée d’un acteur de ce calibre, adossé à la technologie Google, ne se limite pas à impacter Thales. Elle redessine les contours du marché français du cloud dans son ensemble.
Impact de la certification sur le marché du cloud en France
L’officialisation de l’offre S3ns qualifiée SecNumCloud intensifie la concurrence et offre de nouvelles options aux organisations françaises, modifiant ainsi l’équilibre des forces en présence.
Une concurrence accrue sur le segment du cloud souverain
Le marché français du cloud de confiance, longtemps dominé par des acteurs comme OVHcloud ou Outscale (Dassault Systèmes), voit arriver un concurrent de poids. S3ns, avec son partenaire Google, et Bleu, le projet porté par Orange, Capgemini et Microsoft, introduisent un nouveau modèle : celui de la licence technologique. Cette approche permet de combiner la richesse fonctionnelle des plateformes américaines avec les garanties de souveraineté exigées en Europe. La concurrence se jouera donc sur la qualité des services, l’accompagnement et la capacité à innover tout en maintenant le plus haut niveau de sécurité.
La réponse à une demande croissante des OIV et des administrations
Jusqu’à présent, de nombreuses administrations et OIV étaient freinées dans leur adoption du cloud par le manque d’offres qualifiées capables de répondre à leurs besoins de performance et d’innovation, notamment dans les domaines de l’intelligence artificielle et de l’analyse de données massives. L’arrivée de S3ns, qui promet d’apporter progressivement les services avancés de Google Cloud dans son périmètre SecNumCloud, lève un obstacle majeur et devrait accélérer la migration de charges de travail sensibles vers le cloud.
Comparaison des offres de cloud de confiance
Le paysage du cloud de confiance en France se structure désormais autour de plusieurs acteurs aux modèles distincts.
| Acteur | Partenaires technologiques | Statut de la certification | Cible principale |
|---|---|---|---|
| S3ns | Thales, Google Cloud | Qualifié SecNumCloud 3.2 | Secteur public, OIV, grandes entreprises |
| Bleu | Orange, Capgemini, Microsoft | En cours de qualification | Secteur public, OIV, grandes entreprises |
| OVHcloud | Technologie propriétaire | Qualifié SecNumCloud 3.2 | Tous secteurs, PME, secteur public |
| Outscale | Dassault Systèmes (technologie propriétaire) | Qualifié SecNumCloud 3.2 | Secteur public, industries, défense |
Ce paysage concurrentiel diversifié est une bonne nouvelle pour les clients, qui bénéficient de plus de choix. Mais au-delà de la compétition, la question centrale reste la même : comment, concrètement, la sécurité des données est-elle assurée ?
Comment S3ns renforce la sécurité des données avec SecNumCloud
La qualification SecNumCloud n’est pas qu’un simple label. Elle atteste de la mise en place d’un ensemble de mesures concrètes visant à protéger les données contre toutes sortes de menaces, qu’elles soient techniques ou juridiques.
Des mesures techniques et organisationnelles robustes
Pour obtenir la certification, S3ns a dû implémenter des contrôles de sécurité drastiques à tous les niveaux. Cela inclut :
- Une isolation physique complète : Les serveurs et infrastructures de S3ns sont situés dans des datacenters distincts en France, opérés par S3ns, sans aucune connexion avec le réseau global de Google Cloud.
- Un contrôle d’accès strict : Seul le personnel de S3ns, de nationalité européenne et dûment habilité, peut accéder physiquement ou logiquement aux infrastructures. Toute intervention à distance par Google est techniquement impossible.
- Un chiffrement systématique : Les données sont chiffrées au repos et en transit. Plus important encore, les clés de chiffrement sont gérées par S3ns et stockées en France sur des modules matériels de sécurité (HSM) fournis par Thales, hors de portée de Google.
- Une supervision continue : Un centre d’opérations de sécurité (SOC) opéré par Thales surveille en permanence l’infrastructure pour détecter et répondre à toute tentative d’intrusion.
La protection contre les lois extraterritoriales
Le principal enjeu du cloud de confiance est de se prémunir contre des lois comme le CLOUD Act américain, qui pourrait permettre aux autorités américaines de demander l’accès à des données stockées par des entreprises américaines, même à l’étranger. La structure de S3ns est conçue pour neutraliser ce risque. S3ns est une société de droit français, contrôlée majoritairement par Thales. Les mesures techniques, comme le chiffrement avec des clés locales et l’absence d’accès pour le personnel de Google, créent une forteresse juridique et technique. Toute demande d’accès devrait passer par les autorités judiciaires françaises, dans le respect du droit européen.
La question de la protection des données et de l’autonomie stratégique dépasse largement les frontières françaises ; elle est au cœur des préoccupations de tout le continent.
L’importance de la souveraineté numérique européenne
L’initiative française du « cloud de confiance » et la certification de S3ns s’inscrivent dans un mouvement plus large de reconquête de la souveraineté numérique à l’échelle de l’Union européenne.
Le contexte du RGPD et du Data Act
L’Europe s’est dotée d’un arsenal réglementaire ambitieux pour protéger les données de ses citoyens et de ses entreprises. Le Règlement général sur la protection des données (RGPD) a posé les bases, mais des textes plus récents comme le Data Act ou le Data Governance Act visent à créer un véritable marché unique des données industrielles. Pour que ces réglementations aient un effet concret, l’Europe a besoin d’infrastructures cloud de confiance, capables de garantir que les données seront traitées conformément au droit européen. Des offres comme celle de S3ns sont des outils essentiels pour mettre en œuvre cette vision.
L’initiative Gaia-X et la recherche d’alternatives européennes
Le projet Gaia-X, lancé par la France et l’Allemagne, vise à créer un écosystème de données fédéré, ouvert et sécurisé en Europe. L’objectif n’est pas de construire un nouvel hyperscaler, mais de définir des règles communes pour que les acteurs européens du cloud puissent collaborer et offrir des services interopérables et transparents. Les offres qualifiées SecNumCloud, comme celle de S3ns, sont parfaitement alignées avec les principes de Gaia-X, en promouvant la sécurité, la transparence et la portabilité des données.
Cette certification en poche, S3ns est désormais en ordre de marche pour concrétiser ses ambitions et aborder les prochaines étapes de son développement.
Perspectives d’avenir pour S3ns après la certification
Avec la plus haute qualification de sécurité en main, S3ns peut désormais passer à la phase offensive de son plan de développement, en France d’abord, puis potentiellement en Europe.
Déploiement de l’offre et conquête de nouveaux marchés
La priorité pour S3ns est maintenant de déployer commercialement son offre auprès des clients ciblés. La certification va agir comme un puissant accélérateur commercial, ouvrant les portes des ministères, des OIV et des grandes entreprises du CAC 40 qui attendaient ce signal de confiance. L’enjeu sera de démontrer que la promesse de combiner le meilleur des deux mondes, l’innovation de Google et la sécurité de Thales, est une réalité opérationnelle.
Enrichissement du catalogue de services certifiés
La qualification SecNumCloud 3.2 a été obtenue sur un premier périmètre de services d’infrastructure (IaaS) et de plateforme (PaaS). Le défi pour S3ns sera d’élargir rapidement ce catalogue pour y inclure des services à plus forte valeur ajoutée, notamment les outils d’intelligence artificielle (Vertex AI) et de gestion de données (BigQuery) de Google. C’est sur ce terrain que la différenciation sera la plus forte et que la demande des clients est la plus pressante.
Vers une extension européenne ?
Bien que SecNumCloud soit un référentiel français, il est reconnu comme l’un des plus exigeants d’Europe. Il pourrait servir de modèle au futur schéma de certification européen, l’EUCS (EU Cloud Services scheme). En étant déjà conforme au plus haut niveau d’exigence, S3ns se positionne idéalement pour obtenir une future certification européenne. Cela lui ouvrirait les portes des autres marchés sensibles en Europe, notamment en Allemagne, en Italie ou en Espagne, faisant de l’initiative française un potentiel standard pour la souveraineté numérique du continent.
L’obtention de la certification SecNumCloud 3.2 par S3ns est un événement structurant pour le paysage numérique français. Elle valide un modèle innovant qui allie technologie de pointe et souveraineté, renforce l’écosystème du cloud de confiance et offre une solution crédible aux organisations gérant des données critiques. Cette étape clé positionne non seulement S3ns et Thales comme des acteurs centraux, mais contribue également à l’ambition plus large d’une autonomie stratégique européenne à l’ère du numérique.
À lire aussi
- Ce satellite français établit un nouveau standard dans le monde en devenant le premier à faire passer un signal 5G à un relais terrestre sans perte
- « C’est une hérésie » : l’écosystème tech français ulcéré par les choix du service public en matière de numérique
- Comment Dassault renforce la cybersécurité de ses programmes militaires avec le français Bleu
- Revolut veut tuer les opérateurs mobiles avec son offre 5G illimitée : bonne chance pour y arriver en France
- L’accord Siri-Gemini entre Apple et Google: ce que cela signifie pour les deux entreprises