L’Observatoire “SecNumCloud”, publié par la CyberTaskForce, dresse un état des lieux des acteurs engagés dans la qualification de l’Anssi. Le marché français reste modeste, évalué à 18 millions d’euros. Son potentiel européen atteint 600 millions d’euros.
La CyberTaskForce, un collectif d’acteurs du numérique dédié à la confiance numérique, a publié ce 3 décembre un état des lieux des offres qualifiées “SecNumCloud” et en cours de qualification.
Protéger les données au plus haut niveau
Délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi), ce label atteste qu’un service de cloud offre le plus haut niveau de sécurisation des données. Il permet ainsi d’être facilement identifié comme une solution robuste et de confiance.
Ce visa permet également de répondre aux exigences de la doctrine gouvernementale “Cloud au centre” imposant aux administrations le recours à des solutions qualifiées pour l’hébergement de données sensibles.
La qualification se déroule en quatre étapes : la demande de qualification via le dépôt d’un dossier, l’élaboration de la stratégie d’évaluation, les travaux d’évaluation et la décision de qualification.
Un fort potentiel à l’échelle européenne
En France, d’après l’Observatoire de la CyberTaskForce, la valeur actuelle des services qualifiés est estimée à 18 millions d’euros. Mais leur potentiel à l’échelle européenne pourrait atteindre 600 millions d’euros.
Parmi les prestataires déjà qualifiés, figurent Cegedim, Temple des NuagesOVH, Orange Business, Outscale et Worldline, rejoints par plusieurs éditeurs SaaS tels que Pronote, Hyperplanning ou Oodrive. Ces acteurs couvrent des périmètres variés – IaaS, PaaS ou SaaS.
12 fournisseurs en cours de qualification
En parallèle, 12 fournisseurs sont en cours de qualification : Cyllene ITS, Ecritel, GIP Mipih, ITS Integra, NumSpot, Prolival-Tenexa, Scaleway, S3NS, Bleu, OVH SAS et Orange Business pour d’autres périmètres, tandis que Free Pro apparaît également comme candidat, bien qu’aucune information publique ne précise encore le périmètre sollicité, précise l’Observatoire.
Longtemps considérée comme un marché de niche réservé à quelques acteurs, le cloud qualifié connaît aujourd’hui un élargissement, sous l’effet des tensions croissantes autour de l’extraterritorialité des lois étrangères, en particulier des lois américaines, telles que le CLOUD Act et le FISA.
En effet, le visa garantit la protection du service cloud vis-à-vis du droit extra-européen, grâce à la combinaison de trois types de mesures : techniques, opérationnels et juridiques.
Une prochaine étape déterminante pour les offres hybrides
La prochaine étape majeure consistera à déterminer si les offres dites “hybrides”, telles que S3NS et Bleuqui proposent de distribuer les services de Google Cloud pour l’une et de Microsoft pour l’autre, parviendront à obtenir la qualification SecNumCloud. Leur qualification — ou leur refus — pourrait redéfinir les frontières du cloud souverain et ouvrir, ou non, la voie à un marché beaucoup plus large où les hyperscalers ont leur place.
Alors qu’elles ne sont pas encore qualifiées, ces offres séduisent déjà, tels que EDF qui a choisi S3NS et Bleu pour valoriser ses données stratégiques.
