SecNumCloud 3.2 : l'Anssi en demande-t-elle trop ?
En mars 2025, le ministère de l'Education nationale et l'Ecole polytechnique ont provoqué un tollé en raison de leur souscription aux services de Microsoft pour héberger leurs données et bénéficier de solutions numériques. Et pour cause, cela va à l'encontre de l'autonomie stratégique défendue par l'Agence nationale de la sécurité des systèmes d'information (Anssi) et qui sert à "maîtriser notre destin" comme l'a rappelé Vincent Strubel, son directeur général, lors de l'édition 2025 du forum InCyber le 2 avril.
Pour garantir cette autonomie, l'institution délivre la qualification SecNumCloud 3.2. depuis 2022 afin de garantir une totale maîtrise de la sécurité des données dans des cloud souverains. Lancée après deux autres versions, ce référentiel intègre une exigence d'imperméabilité du cloud aux législations non-européennes à portée extraterritoriale en plus d'un très haut niveau de cybersécurité. Toutefois, seules six entreprises la détiennent : Oodrive, Cloud Temple, Outscale, OVHcloud, Whaller, Worldline. Et actuellement, les entreprises en cours de qualification sont, pour ne citer qu'elles, Scaleway, S3NS, NumSpot ou encore Bleu. SecNumCloud 3.2 concerne donc un cercle restreint d'acteurs composé majoritairement de grandes entreprises, d'entreprises de taille intermédiaire et de filiales de grands groupes.
Rien d'étonnant quand on sait que de nombreuses petites et moyennes entreprises (PME) des secteurs du numérique s'estiment exclues de la qualification comme nous l'a confirmé le sénateur Olivier Cadic. Parlementaire très investi dans les politiques relatives à la sécurité des systèmes d'information, il précise que cela est perçu comme un problème qui lui est souvent signalé lors des matinales du CyberCercle, think tank dont la voix porte dans l'écosystème français de la cybersécurité.
Prix trop élevés, évaluations trop longues
Et pour cause, le coût et la durée des processus d'obtention de la qualification sont importants. Contacté à ce sujet, l'avocat Eric Barbry, spécialisé en partie dans le droit de la cybersécurité, explique que "c'est un enfer sur terre" pour les PME d'essayer d'acquérir la prestigieuse qualification : "Le problème est que le ticket d'entrée pour ces entreprises est démesuré. Le coût pour préparer en amont la qualification, se faire accompagner, être en conformité aux critères demandés, est un énorme budget que peu d'entreprises peuvent dépenser".
Bien que le coût global pour une entreprise puisse varier en fonction de sa maturité, un cadre d'un organisme proche de l'Anssi ayant choisi de conserver son anonymat précise que celui-ci serait de quelques millions d'euros environ. Cette estimation comprend à la fois le prix de l'évaluation effectuée par un centre agréé, relativement faible selon lui, et les coûts internes à l'entreprise pour préparer l'obtention de la qualification. Celle-ci nécessite plusieurs étapes mobilisant des moyens humains et techniques très importants pendant une durée d'environ un an et demi (évaluation du niveau cyber, audits à blanc, application des règles du référentiel, etc.). Autant dire que de nombreuses PME ne peuvent se permettre de se lancer dans un tel processus même quand des aides publiques leur sont proposées. Cela avait été le cas en 2022 grâce à un guichet pouvant allouer jusqu'à 180 000 euros à chaque PME sélectionnée, ce qui est peu à côté du coût global de l'opération.
Manque de moyens de l'Anssi
En outre, le manque de moyens de l'Anssi et le trop faible nombre de centres d'évaluation agréés par l'institution expliqueraient la lenteur des processus qui décourage certaines entreprises. C'est ce que confirme le directeur technique de Jizô AI (Sesame IT), dont un des produits a récemment bénéficié d'une autre qualification proposée par l'Anssi : "Le problème ne se trouve pas dans les référentiels qui sont excellents mais concerne la capacité de l'Anssi, en termes de ressources humaines, à répondre à l'intégralité des référentiels qu'elle a écrits. Nous, quand on fait notre qualification, on sait qu'il nous faut entre huit et douze mois pour que le dossier soit lu." Même constat de la part de Yrieix Denis, fondateur du cabinet de conseil en cybersécurité Alyghieri qui estime "qu'il faut plus de moyens pour une agence qui a beaucoup de mandats différents et dont les membres ne sont pas nombreux" (environ 630 agents).
Aussi, Eric Barbry se demande si les critères d'évaluation que demande l'Anssi pour obtenir la qualification SecNumCloud ne sont pas trop élevés pour les PME compte tenu des investissements qu'ils nécessitent. Sans aller jusque-là, Yrieix Denis pointe plutôt un problème de "méthode" : "c'est moins le cahier des charges qui doit être réduit que son évaluation, la façon dont on le vérifie, on le contrôle". Selon lui, cette difficulté que rencontrent les PME pour acquérir cette qualification peut être réduite en proposant "une nouvelle offre dédiée pour elles" qui rendrait "la méthode d'évaluation plus accessible, agile et moins chronophage". Pour cela, il indique qu'il faudrait augmenter le nombre de centres d'évaluation agréés pour SecNumCloud qui ne sont actuellement que quatre. Il ajoute que cela diminuerait les coûts en ressources humaines des entreprises pour obtenir la qualification grâce à la réduction du temps nécessaire.
Vers un accès facilité à la qualification
De son côté Philippe Miltin, directeur général de Outscale, filiale de Dassault Systèmes qui a obtenu la qualification SecNumCloud 3.2 en 2023, relativise la difficulté qu'ont les PME à obtenir la qualification. En effet, depuis la dernière version du référentiel, il n'est plus nécessaire de qualifier tout le stack. Un éditeur de logiciels (SaaS) peut obtenir la qualification en conformant seulement son logiciel à celle-ci, à condition qu'il soit hébergé sur une infrastructure SecNumCloud : c'est le principe de composition.
Grâce à ce principe, l'éditeur simplifie, accélère et réduit le coût de sa démarche de qualification. Cela attire alors les partenariats entre les éditeurs de logiciels et les entreprises dont l'infrastructure est qualifiée SecNumCloud pour faciliter la conformité de solutions fournies par des PME au référentiel. C'est pourquoi "aujourd'hui Outscale a des dizaines de partenariats qui offrent des solutions parfaitement sécurisées sur nos infrastructures SecNumCloud", précise Philippe Miltin. Objectif : créer une réaction en chaîne vertueuse permettant à de plus en plus d'éditeurs de logiciels d'obtenir la qualification. Toutefois, l'effet tarde à venir. De plus, les rares infrastructures SecNumCloud disponibles actuellement doivent être adaptées aux besoins techniques et aux projets des éditeurs. Et, quand c'est le cas, cela inclut qu'ils choisissent d'être dépendants de l'infrastructure d'un tiers, ce qui peut les éloigner de certains marchés publics nécessitant que tout le stack soit qualifié.