S3NS obtient la qualification SecNumCloud : un tournant pour le cloud de confiance
© 123RF
En faisant du cloud l’hébergement de leurs applications et de leurs informations, les organisations ont gagné en agilité. Mais la nature des données traitées, dans un contexte de cybermenaces et de pressions juridiques extraterritoriales, a fait naître des exigences en matière de sécurité et de conformité. De nombreux acteurs cherchent désormais à concilier la performance du cloud sans perdre la maîtrise de leurs données. C’est à cette équation que répond l’offre PREMI3NS, le cloud de confiance de S3NS, qualifié SecNumCloud.
Longtemps, les organisations confrontées à ces enjeux ont dû arbitrer entre deux options. D’un côté, des solutions opérées par des prestataires français ou européens, mais souvent en retrait sur le plan des performances, de la richesse fonctionnelle ou du rythme d’innovation. De l’autre, l’offre foisonnante des cloud providers non européens qui investissent plusieurs milliards de dollars par an dans leurs infrastructures, mais dont les services peuvent être soumis aux lois extraterritoriales.
« Depuis quinze ans, les acteurs américains ont pris une nette longueur d’avance. Ils ont d’abord construit ces infrastructures pour leurs propres besoins avant d’en faire des offres commerciales ouvertes à tous. L’Europe et la France sont arrivées bien plus tard sur ce marché et, face à des investissements colossaux, il est aujourd’hui très difficile de rivaliser… » constate Victor Vuillard, directeur technique et sécurité de S3NS.
Entre les deux modèles, une nouvelle génération d’offres émerge, cherchant à concilier la performance des cloud provider américains et la maîtrise européenne des données.
© 123RF
C’est précisément le positionnement revendiqué par S3NS. Créée il y a trois ans, S3NS est une joint-venture entre Thales et Google Cloud qui emploie près de 200 personnes en France. Elle propose aux entreprises et aux institutions publiques l’équivalent de Google Cloud, sécurisée par les solutions de Thales et conforme aux exigences SecNumCloud de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information. Le pari repose sur une articulation inédite des rôles. Google, habituellement opérateur intégré de son propre cloud, fournit la technologie, les logiciels et les briques d’analytics et d’IA tandis que S3NS opère et sécurise l’infrastructure cloud ainsi que les datacenters. « Google Cloud nous aide à opérer leurs services de manière totalement autonome, en s’affranchissant de toutes les dépendances possibles avec le reste de leur environnement. Nous gardons la maîtrise des opérations, du stockage des données, de leur localisation et des personnes qui peuvent y accéder », résume Victor Vuillard. Le géant américain a consenti à un degré de transparence inédit pour un fournisseur cloud. S3NS a notamment accès au code source, ce qui facilite ses audits approfondis de l'ensemble des couches logicielles et matérielles. Cette transparence est au cœur du contrat de confiance entre les deux groupes.
SecNumCloud : un visa de sécurité pour le cloud de confiance
L’ANSSI est particulièrement attentive au rôle joué par d’éventuelles « tierces parties » non européennes dans les services qualifiés. Son référentiel SecNumCloud propose un cadre garantissant un très haut niveau de sécurité et de maîtrise de l’accès aux données. Qualifiée le 17 décembre 2025, l’offre PREMI3NS respecte des centaines d’exigences particulièrement élevées.
S3NS a réussi le tour de force de faire qualifier dans un temps record un périmètre de services inégalé. C’est la première fois que l’ANSSI accorde la qualification SecNumCloud à la fois pour les portées IaaS, CaaS et PaaS pour plus d’une vingtaine de services. Opérer une région Google Cloud de manière autonome est également une première mondiale que réussit Thales.
Victor Vuillard - Directeur technique et sécurité de S3NS
Sur le plan technique, ce visa requiert un cloisonnement strict des systèmes, un chiffrement généralisé, une supervision continue, des tests d’intrusion réguliers et des dispositifs robustes de continuité et de reprise d’activité. « Nous disposons de notre propre SOC interne (Security Operations Center), afin de définir des scénarios de détection et d’identifier les comportements anormaux dans l’infrastructure. Nous nous appuyons aussi sur le SOC qualifié PDIS de Thales par l’ANSSI. Cette double supervision nous offre une vision extrêmement robuste. A ce niveau, nous sommes les seuls parmi les offres qualifiées SecNumCloud à fonctionner ainsi », explique le directeur technique et sécurité de S3NS.
L’ANSSI encadre aussi la manière dont ces systèmes sont exploités : profil et localisation des administrateurs, postes dédiés et isolés, recours aux sous-traitants, gestion des incidents, réversibilité des données. Sur le plan juridique, le service doit être opéré sous droit européen et protégé contre les lois extraterritoriales. La qualification, limitée dans le temps, est assortie d’audits annuels et d’un réexamen complet tous les trois ans, offrant ainsi l’un des plus hauts niveaux de sécurité pour l’hébergement de données sensibles en France.
Des mises à jour sous haute surveillance
Pour suivre le rythme des innovations de Google Cloud tout en restant dans le cadre du SecNumCloud, les équipes de S3NS ont mis en place des mécanismes de sécurité qui interceptent systématiquement chaque mise à jour. L’entreprise opère dans deux environnements cloud distincts. Le premier, qualifié de « quarantaine », ne contient aucune donnée client. Le second est l’environnement de production, celui auquel accèdent les utilisateurs. « Chaque fois que Google Cloud publie une mise à jour, celle-ci est interceptée et redirigée dans l’environnement de quarantaine », prévient Victor Vuillard. « Nous analysons le code avec des techniques de rétro ingénierie automatisée. Concrètement, nous ouvrons chaque binaire, nous vérifions une série de critères de sécurité, puis nous observons comment la nouvelle version se comporte par rapport à l’ancienne. Ce n’est qu’au vu de ces tests que nous décidons d’autoriser, ou non, l’installation de la mise à jour dans l’infrastructure dédiée aux clients », précise-t-il. En moyenne, cinq millions de composants logiciels sont analysés chaque jour.
Un enjeu clé pour l’État et les secteurs critiques
Parmi les acteurs tenus de sélectionner un cloud provider qualifié SecNumCloud figurent les opérateurs d’importance vitale ou de services essentiels, mais aussi les administrations publiques. «L’État sait désormais qu’il peut difficilement maintenir lui-même des datacenters au niveau de résilience attendu. Les nouveaux systèmes doivent être pensés nativement pour le cloud, à condition que ceux-ci soient qualifiés SecNumCloud », explique Victor Vuillard. Au-delà de l’obligation réglementaire, de nombreuses entreprises y voient un outil de maîtrise du risque et réassurance. Dans la santé notamment, mutuelles et assureurs s’appuient sur SecNumCloud pour démontrer à leurs adhérents comme aux autorités le niveau élevé de sécurité de l’infrastructure cloud qui les héberge.
L’obtention de la qualification SecNumCloud marque une étape clé, tout en ouvrant la voie à d’autres certifications (ISO 27001, HDS) et à l’enrichissement de l’offre PREMI3NS, notamment avec des services managés en intelligence artificielle. Elle offre un cadre protecteur aux entreprises et aux citoyens européens, appelé à se renforcer au fil du temps. S3NS se positionne ainsi pour accueillir les données les plus sensibles de ses clients et leur donner accès à un portefeuille inédit de technologies et de compétences souveraines.