OUTSCALE se dit cloud souverain. C'est vrai?
Le "cloud souverain français" a les qualifications. Mais est-ce que la paperasse égale la sécurité?
OUTSCALE, filiale de Dassault Systèmes, se présente comme “le cloud souverain français”. En décembre 2023, ils sont devenus le premier provider qualifié SecNumCloud 3.2, la plus haute qualification de sécurité du gouvernement français
L’affirmation est légitime. Mais ça veut dire quoi concrètement?
La qualification est réelle
SecNumCloud est une “qualification”, pas une certification : c’est l’État qui teste, pas un auditeur.
SecNumCloud 3.2 exige:
- Siège dans l’UE, pas de propriété américaine ou chinoise
- Aucune entité non-UE ne peut détenir plus de 24% des parts
- Immunité au Cloud Act américain et FISA
- 350+ exigences techniques de sécurité
OUTSCALE passe tout ça proprement. 100% détenu par Dassault Systèmes, une boîte française. Pas d’actionnaires américains. Pas d’astérisques
Compare ça à OVHcloud, qui a la même qualif mais avec KKR (private equity américain) qui détient ~6% des parts. Ils parlent d‘“isolation juridique” de la juridiction US. Peut-être. OUTSCALE n’a pas besoin de faire cet argument
Ce que SecNumCloud garantit vraiment
SecNumCloud c’est de la sécurité normative, pas de la sécurité opérationnelle. Ça garantit:
- Une gouvernance et des procédures
- Un cadre légal européen
- Une gestion documentée de la sécurité
- Des opérations maîtrisées
- Une responsabilité claire quand ça merde
Ça n’a jamais prétendu être un pentest continu, un programme bug bounty, un SOC 24/7 éprouvé, ou un bouclier anti-CVE. C’est pas ce que ça revendique
La vraie sécurité opérationnelle c’est autre chose. C’est ton serveur qui se fait marteler par 100 IPs différentes par seconde à 3h du mat. C’est patcher une CVE critique avant qu’elle soit exploitée. SecNumCloud garantit pas ça, et il prétend pas le faire
J’ai vu des infras “certifiées” avec des vulnérabilités non patchées. Le certificat était valide parce que la gouvernance était en place. La sécurité non parce que personne surveillait vraiment
En écrivant cet article, j’ai checké le SSL du site OUTSCALE:
$ openssl s_client -connect en.outscale.com:443 verify error:num=20:unable to get local issuer certificate verify error:num=21:unable to verify the first certificateLa chaîne de certificat est cassée. Le certificat intermédiaire est mal configuré, donc les navigateurs peuvent pas vérifier la chaîne jusqu’au root CA. C’est du TLS 101. N’importe quel SSL checker le détecte immédiatement
Qualifié SecNumCloud avec 350+ exigences de sécurité, mais ils savent pas configurer une chaîne de certificat sur leur site marketing. L’auditeur a vérifié leur documentation de gouvernance. Personne a vérifié si le site marchait vraiment
La qualification d’OUTSCALE veut dire qu’ils ont structuré leur boîte correctement: gouvernance, procédures, protection légale contre la juridiction US. Ça veut pas dire que leur infra est intrinsèquement plus sécurisée qu’une VM Hetzner bien maintenue
Le pricing
Comparons des VMs équivalentes. 2 vCPU, 4GB RAM:
Hetzner CX22: 4,51€/mois
OUTSCALE Europe: 0,034€/h par vCore + 0,005€/h par GiB RAM = 0,088€/h = 64€/mois
OUTSCALE SecNumCloud: 0,041€/h par vCore + 0,006€/h par GiB RAM = 0,106€/h = 77€/mois
OUTSCALE c’est 14 à 17 fois plus cher pour les mêmes specs. 77€/mois pour 2 vCPU et 4GB RAM. C’est scandaleux
Pour ce prix chez Hetzner, t’as un serveur dédié avec 64GB de RAM. Chez OUTSCALE, t’as une VM qui ferait pas tourner un WordPress chargé
C’est la taxe qualification. Tu paies pour la gouvernance, la paperasse compliance, et le tampon SecNumCloud. Pas pour du meilleur hardware
À quoi sert vraiment OUTSCALE
OUTSCALE vise les agences gouvernementales et les contractants défense. Dassault Aviation utilise leur cloud pour le développement du FCAS, le chasseur européen de nouvelle génération. Quand tes exigences de compliance incluent “pas d’exposition légale américaine” et “qualifié par l’ANSSI”, OUTSCALE c’est la réponse
Leur CEO le dit directement: “On veut pas remplacer les géants américains. On couvre les applications les plus critiques en termes de sécurité”
C’est une niche. Contrats gouvernementaux, industrie de la défense, données sensibles du secteur public. Si t’es dans cette niche, OUTSCALE est légitime
Pour tous les autres
Si t’as pas besoin de qualifications gouvernementales, t’as pas besoin d’OUTSCALE
Mais ça veut pas dire que la souveraineté on s’en fout. J’ai pas envie que les ricains matent mes fichiers. J’ai pas envie qu’AWS gère mes clés ou les fasse tourner dans une boîte noire que je peux pas auditer. Du closed source c’est insécurisé par design, tu fais confiance à du code que tu peux pas lire
Hetzner te donne une boîte allemande, des datacenters allemands, conformité RGPD, zéro exposition US. Pas de théâtre de qualification, juste de l’infra qui marche. Une CX22 coûte 4,51€/mois. Tu gères tes propres clés, ton propre chiffrement, ta propre stack. Tout est auditable parce que c’est toi qui contrôles
La “souveraineté” dont t’as vraiment besoin c’est: boîte européenne, datacenters européens, pas d’exposition Cloud Act, et le contrôle sur ta propre sécurité. Pas une qualification qui dit que quelqu’un d’autre a coché les cases pour toi
Le mot de la fin
L’affirmation de souveraineté d’OUTSCALE est légitime. C’est l’option cloud souverain français la plus propre pour les cas d’usage gouvernement et défense
Mais “souverain” et “qualifié” ça veut pas dire “opérationnellement sécurisé”. Ça veut dire “conforme aux exigences gouvernementales”, avec une gouvernance et une protection légale en place. C’est pas la même chose
Pour les données gouvernementales sensibles, utilise OUTSCALE. Pour tout le reste, fais tourner ta propre stack sur de l’infra européenne. La vraie sécurité c’est ce que tu construis et maintiens, pas ce qu’un auditeur signe
Sources:
Vous avez aimé cet article ? Partagez-le !
