Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

« Une manière d’occuper le terrain. » Ainsi David Chassan, directeur de la stratégie chez 3DS Outscale, interprète-t-il l’annonce de la semaine dernière au sujet de Bleu. Dans l’absolu, la structure ne sera effectivement opérationnelle qu’en 2024. Elle associe Orange et Capgemini à Microsoft pour proposer un « cloud de confiance » labellisé SecNumCloud.

L’alliance Google-Thales a le même objectif. Et vise la même échéance – plus précisément, le 2^e semestre 2024. Elle a toutefois monté une offre « intermédiaire ». Six early adopters la testeront à partir de cet été.

Cette offre ne postulera pas au label SecNumCloud. Elle constituera cependant, nous promet-on, un tremplin vers le « cloud de confiance » : environnement d’intégration similaire, briques communes, stratégie simplifiée de redéploiement…

Pour porter ces deux offres, une société de droit français : Thales Cloud de Confiance, une SASU créée en octobre dernier, au moment où les deux groupes officialisaient leur partenariat. On la connaît sous la marque commerciale S3NS (à prononcer « sens »). Cyprien Falque en est le directeur général. Cet ancien de BCG et de ManoMano était déjà responsable, chez Thales, dudit partenariat. La présidence de S3NS revient à Walter Cappilati, DG de Thales Services Numériques (et ex-Capgemini).

Thales contrôle entièrement la société S3NS. Google en est actionnaire minoritaire (moins de 10 % du capital). L’effectif se chiffre pour le moment en dizaines de salariés. Il est question d’atteindre la centaine. Parmi les postes actuellement ouverts, un SRE, un customer engineer et un responsable commercial.

L’offre « intermédiaire » sera vendue sous la marque « Contrôles locaux avec S3NS ». Elle donnera accès aux services Google Cloud suivants (avec les mêmes SLA que l’offre publique) :

Pas de SecNumCloud prévu, donc, mais un certain nombre de certifications visées. Parmi lesquelles :

S3NS : Thales pas encore à pleine puissance

Qu’entendre par « contrôles locaux » ? Essentiellement :

– Localisation des données en France ou en Europe, à la demande du client

– Support technique initialement assuré par Google Cloud depuis l’UE (« avec des exceptions possibles pour les rares cas de support avancé) ; puis par S3NS à partir de fin 2023, avec des interlocuteurs francophones

– Contrôle cryptographique sur l’accès aux données

Ce « contrôle cryptographique » reposera sur deux services. Ceux-là même qui constituent le socle de l’offre Assured Workloads, que Google Cloud expérimente depuis quelques mois en Europe. D’un côté, Key Access Justifications (KAJ). De l’autre, External Key Manager (EKM).

EKM permet d’exploiter des clés de chiffrement externes – qui seront, dans le cas de S3NS, stockées sur des équipements Thales.
KAJ peuple toutes les requêtes EKM (appels à une clé pour le déchiffrement) d’un champ « justificatif ». Objectif : expliquer le pourquoi des requêtes en question. Et permettre une réponse automatique qu’on aura paramétrée au niveau des équipements en question.

À l’avenir, S3NS prévoit d’offrir des fonctionnalités de corrélation des journaux KAJ. Et de définir des politiques plus granulaires spécifiques par client. Parmi ses autres priorités :

L’offre « intermédiaire » exploitera les trois datacenters franciliens qui constituent la région France de Google Cloud. L’offre SecNumCloud utilisera quant à elle des salles dédiées, à proximité. Avec isolation physique (réseau, racks, serveurs) et cryptographique (identités, racine de confiance, chiffrement au repos et en transit). S3NS assurera le support et la supervision (télémétrie partiellement partagée avec Google Cloud). La société bénéficiera d’une capacité d’audit de code. Les mises à jour logicielles, notamment, passeront par un « sas de sécurité » que pilotera Thales.

Illustration principale © sdecoret – Adobe Stock