Oodrive, premier acteur cloud à décrocher le label SecNumCloud de l’Anssi

Un sacré sésame pour Oodrive. Le spécialiste des services de travail collaboratif et partage de fichiers, qui se présente comme le Box français, vient de décrocher le label SecNumCloud de l’Anssi, l’agence nationale de sécurité des systèmes d’information. Il est le premier acteur du cloud à l’obtenir. Edouard de Rémur, cofondateur et directeur général, qui a piloté cette démarche de qualification en liaison avec la direction informatique de la société, en attend une différenciation forte sur le marché.

Un investissement important

Fondée en 2000 à Paris, Oodrive fournit des services cloud de partage de fichiers, comme l’américain Box, mais aussi des services de sauvegarde et d’archivage sécurisés de données. Pour livrer ses services, la société s’appuie sur sept datacenters en propre chez des hébergeurs informatiques, dont deux en France, l’un à Paris, l’autre aux Ulis. Elle compte aujourd’hui 400 personnes dans le monde, dont 350 en France, et affiche un chiffre d’affaires de 45 millions d’euros en 2018, dont 20% à l’international.

Le label SecNumCloud concrétise l’une des 10 propositions du plan « Nouvelle France industrielle » sur le cloud copiloté par Thierry Breton, PDG d’Atos, et Ocatve Klaba, fondateur d’OVH. Il est délivré par l’Anssi pour favoriser l’émergence d’un cloud de confiance, condition sine qua non de son adoption par certains services de l’Etat, les opérateurs d’importance vitale (OIV) ou encore les entreprises exposés à forte concurrence internationale.

"Nous avons travaillé depuis 2013 avec l’Anssi, d’abord pour définir un référentiel de sécurité du cloud reconnu sur le marché, ensuite pour le faire évoluer puis pour notre propre démarche de qualification, explique à L’Usine Nouvelle Edouard de Rémur. L’obtention du label est aujourd’hui l’aboutissement d’un investissement matériel, technique, documentaire et humain important. Nous avons dû revoir l’aménagement de nos bâtiments, installer des portiques de sécurité ou encore revoir toutes nos procédures internes une à une pour nous conformer aux exigences du référentiel. Pour nos solutions logicielles, nous étions déjà bons en termes de sécurité car nous avions fait le travail nécessaire du temps de SecureCloud, l'ancêtre de SecNumCloud.»

Parade au Cloud Act

Le label couvre en effet les trois aspects du cloud : les produits livrés en tant que services en ligne, les infrastructures (bureaux et datacenters) sur lesquels ils s’appuient, et les procédures d’exploitation, de gestion et de fonctionnement. "Le référentiel est très exigent en termes de sécurité, précise à L’Usine Nouvelle François-Xavier Vincent, directeur de la sécurité du système d'information de la société. Le renouvellement de la certification ISO 27 000, dont j’ai repris le dossier à mon arrivée chez Oodrive il y a un an, est une promenade de santé comparée à la qualification SecNumCloud. " Selon Edouard de Rémur, SecNumCloud est quatre à cinq fois plus difficile à obtenir que le certificat ISO 27 000.

Le label se cantonne aujourd’hui à la France. Mais l’Anssi espère en obtenir la reconnaissance au niveau européen. Edouard de Rémur y voit un instrument pour favoriser l’adoption du cloud. "L’Etat compte pousser les OIV à choisir des cloud labellisés SecNumCloud pour les protéger des risques du Cloud Act, explique-t-il en faisant référence à cette loi américaine donnant au gouvernement états-unien un droit d’accès aux données gérées par les acteurs américains du cloud. La même préconisation vaut pour des groupes opérant dans des domaines stratégiques ou exposés à une forte concurrence étrangère. Jusqu’ici, pour s’assurer de la sécurité des solutions qu’ils utilisent, ils devaient nous auditer 7 à 8 fois par an. Maintenant, ils n’ont plus besoin de le faire."

Le label a été délivré sur la foi d’un dossier et du rapport d’audit réalisé en 2016 par LSTI, l’un des trois organismes indépendants d’audit agréés par l’Anssi pour cette qualification aux cotés de l’Afnor et du LNE. Il est valide pendant trois ans, avec renouvellement de l’audit au bout de 18 mois. Quatre autres acteurs cloud sont en phase de qualification : Orange Cloud for Business, Outscale (filiale cloud de Dassault Systèmes), Vendôme Solutions et Worldline (filiale de services de paiements d'Atos).

Sélectionné pour vous

« L’industrie ne s’est pas réduite à peau de chagrin en dix ans », analyse l’économiste Sarah Guillou

Les principales plateformes des "Big Tech" sous le feu de la Commission européenne

EvoCycle : la cartouche la plus éco-responsable de la gamme HP, fabriquée en France