L’alternative européenne dans le cloud annonce son entrée dans le processus de qualification visant à obtenir le visa de sécurité de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) sur son offre Private Cloud. Le référentiel SecNumCloud et le processus de qualification associé définissent le schéma de confiance le plus exigeant pour les prestataires de service de cloud computing.
Expérimentée sous le nom Secure Cloud par l’ANSSI depuis 2014, la qualification SecNumCloud (dont le référentiel a été publié en 2017) répond notamment au besoin, pour les autorités administratives, les Organismes d’Importance Vitale (OIV) et autres entités aux enjeux les plus élevés, d’obtenir les meilleures garanties de confidentialité pour l’hébergement de leurs données auprès d’un cloud de confiance.
Pour OVH, l’obtention de ce visa constituera un indicateur supplémentaire témoignant du niveau d’engagement dans la sécurité de ses infrastructures, et pour ses clients « de mieux considérer les engagements contractuels[1] » de leur fournisseur de cloud computing. Pour faire qualifier son service, OVH doit démontrer sa conformité à l’intégralité des exigences du référentiel ainsi qu’aux référentiels de bonnes pratiques préconisés par l’ANSSI qui y sont annexés. Ces exigences couvrent tous les domaines de la sécurité de l’information tels que la sécurité physique et environnementale des infrastructures, la gestion des identités et des contrôles d’accès, mais également la localisation en Union européenne des infrastructures et des équipes en charge de leur exploitation.
La posture d’un acteur de confiance à la vision alternative
Basée sur des fondations solides — les datacenters d’OVH et les serveurs Bare Metal sont certifiés ISO27001 — la sécurité de l’offre Private Cloud est conçue pour les traitements les plus critiques comme l’Hébergement de Données de Santé à caractère personnel (agrément puis récemment certification HDS) ou de données de carte bancaire (attestation PCI DSS). Le processus de qualification entrepris auprès de l’ANSSI a vocation à renforcer le positionnement d’OVH sur le marché de l’Infrastructure as a Service hautement sécurisée, tout particulièrement auprès des marchés publics.
« Pour OVH, la certification SecNumCloud est une chance de valoriser notre vision d’un cloud à la fois accessible, réversible, transparent, tout en répondant aux plus hauts critères en matière de sécurité des équipements et de confidentialité des données. C’est ainsi que nous pouvons développer notre vision du cloud de confiance », affirme Michel Paulin, Directeur Général d’OVH.
« Nous avons aligné nos pratiques sur le référentiel SecNumCloud dès sa publication par l’ANSSI. Ces mesures de sécurité permettent d’apporter une garantie supplémentaire à nos clients désireux d’externaliser l’hébergement de leurs données auprès d’un cloud de confiance », ajoute Julien Levrard, responsable Conformité pour le groupe OVH.
En tant que premier fournisseur d’IaaS d’envergure européenne à entrer dans le processus de qualification, OVH se réjouit des perspectives offertes par les recommandations de l’ANSSI pour le marché français, et entend étendre l’application de ces bonnes pratiques pour ses datacenters à l’international dans le cadre de sa stratégie multilocale.
[1] Source : « Prestataires de services d’informatique en nuage (SecNumCloud) référentiel d’exigences » sur le site de l’ANSSI.