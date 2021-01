L'hébergeur français OVHCloud vient de décrocher un label très important, qui atteste de son haut niveau de sécurité dans le cloud. Une certification qui lui ouvre la voie vers un rôle plus important et stratégique dans l'hébergement de données sensibles.

C’est en apparence un sujet très technique, mais qui devrait avoir des répercussions bien plus larges à moyen et long terme. Dans un communiqué publié le 12 janvier, l’entreprise française OVHCloud, dont la spécialité est l’hébergement en ligne, a annoncé avoir reçu le label SecNumCloud qui est délivré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Plus exactement, c’est l’offre Hosted Private Cloud qui décroche cette qualification. Elle concerne spécifiquement les « dispositifs de sécurisation et d’isolation renforcés » qui sont mis en place à Roubaix et à Strasbourg, là où les services Hosted Private Cloud en question sont opérés, dans deux centres de données. Ces dispositifs visent notamment à résister davantage à des cyberattaques.

La qualification d’OVHCloud a suscité les félicitations de Cédric O, le secrétaire d’État en charge du numérique : « Bravo à OVHCloud pour l’obtention du label SecNumCloud de l’ANSSI, qui récompense les efforts de sécurisation réalisés par l’entreprise. Une étape importante dans la construction d’un cloud de confiance en France et pour notre souveraineté tech », écrit-il sur Twitter.

OVHCloud n’est pas la première entreprise française dans l’hébergement à décrocher un tel sésame. Deux autres sociétés hexagonales évoluant dans le secteur de l’informatique en nuage (cloud computing) ont reçu ce label : il s’agit d’Outscale et de Oodrive. Il est à noter que ces trois sociétés françaises détiennent aussi une autre certification, qui les autorise à héberger des données de santé à caractère personnel.

Un pas en direction de l’hébergement souverain

Cette double labellisation pour OVHCloud est importante à deux niveaux : d’une part dans l’affaire de l’hébergement de la plateforme française pour les données de santé (Health Data Hub), qui est aujourd’hui confié à Microsoft. Le fondateur d’OVHCloud, Octave Klaba, s’était plaint de l’absence d’appel d’offres et de cahier des charges, jugeant que le recours à Microsoft serait finalement une solution imposée.

En effet, la certification d’OVHCloud sur l’hébergement de données de santé (HDS) et sur la sécurisation du cloud computing (SecNumCloud) crédibilise la perspective d’un transfert des responsabilités de Microsoft vers l’entreprise française, ou l’une des deux autres alternatives. Le gouvernement s’est rallié à l’idée d’un appel d’offres. Le dossier doit être réglé d’ici 2022.

Il est à noter que Microsoft dispose du label HDS pour les données de santé, mais pas le label SecNumCloud — ce qui ne veut pas dire que son service n’est pas sécurisé : il n’a pas été évalué. Le groupe met en avant d’autres certifications et insiste sur sa compatibilité avec les textes de loi en vigueur, en particulier le Règlement général sur la protection des données personnelles (RGPD).

Même si les données de santé du Health Data Hub sont physiquement hébergées en Europe et soumises à des règles de sécurité et de confidentialité, Microsoft demeure une entreprise américaine. Or, l’invalidation de l’accord Privacy Shield entre l’Europe et les USA et certaines dispositions légales outre-Atlantique suscitent des incertitudes sérieuses sur le plan juridique.

Cette labellisation SecNumCloud sert aussi OVHCloud dans ses projets concernant la souveraineté numérique. En septembre, l’entreprise annonçait un partenariat avec la firme allemande T-Systems pour bâtir une infrastructure de données fiable et sécurisée, au profit de l’Europe, pour accueillir des opérateurs d’importance vitale et des firmes « dans des secteurs stratégiques ou sensibles, d’intérêt public ».

C’est d’ailleurs sur cet aspect que communique aussi OVHCloud. Cette reconnaissance de l’ANSSI démontre que sa solution d’hébergement est « particulièrement adaptée à l’hébergement des données sensibles des organisations telles que les données de santé, les données financières ou les données relevant de la propriété intellectuelle stratégique des entreprises comme celles de leurs départements de R&D. »

