Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.
SecNumCloud : une qualification de sécurité
En2016, l’ANSSI(Agence nationale de la sécurité des systèmes d’information) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Les catégories d’audit et exigences
Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel de l’ANSSI. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.
Parmi eux :
la mise en place de politique de sécurité du système d’information et de gestion du risque,
le chiffrement des données stockées
l’identification, la gestion et la conformité dans la relation avec les tiers
la gestion des actifs et des identités numériques et physiques
la gestion des incidents et les garanties de continuité d’activité
Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
SecNumCloud figure au cœur des débats sur l’EUCS et la loi SREN
La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.
Pourquoi choisir un opérateur qualifié SecNumCloud ?
Minimiser les risques de sécurité
L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque robustes, avec une attention particulière portée à l’organisation de la gouvernance interne, à la sécurité des ressources humaines impliquées, à la sauvegarde des données ou encore à la maintenance.
La qualification SecNumCloud offre ainsi des garanties fortes en matière de continuité d’activité et de disponibilité de service.
De plus, les relations avec des tiers font l’objet de mesures de sécurité strictes et spécifiques. En effet, l’opérateur SecNumCloud doit pouvoir identifier clairement l’ensemble de ses parties prenantes et opérer un suivi des changements dans ses relations, tout en s’assurant de la confidentialité des données échangées. Cela permet de limiter les failles de sécurité d’origine externe, dans un contexte de multiplication des attaques sur la chaînes d’approvisionnement (ou supply chain attack).
Renforcer la souveraineté
Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français et limite les risques d’espionnage industriel.
Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.
TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud
Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.
Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
FAQ :
Qu’est-ce que la qualification SecNumCloud ?
SecNumCloud est une qualification de sécurité délivrée par l’ANSSI, garantissant un haut niveau de sécurité pour les services Cloud, en conformité avec des normes strictes.
Quelles sont les exigences pour obtenir la qualification SecNumCloud ?
Les prestataires Cloud doivent se conformer à plus de 350 points d’exigence, couvrant des aspects tels que la sécurité des systèmes d’information, le chiffrement des données, la gestion des incidents, et la continuité d’activité.
Pourquoi choisir un opérateur cloud qualifié SecNumCloud ?
Choisir un opérateur qualifié SecNumCloud minimise les risques de sécurité et assure une protection renforcée des données, en plus de garantir la souveraineté numérique des organisations et leur conformité avec le RGPD.
Comment la qualification SecNumCloud renforce-t-elle la souveraineté numérique ?
Elle inclut des mesures de protection contre les lois extraterritoriales, garantissant que les données ne soient pas transférées à un tiers sans accord préalable et soient hébergées en France.
Quels avantages pour les secteurs critiques ?
Avec une solution qualifiée SecNumCloud, les secteurs critiques, tels que la défense et les industries, bénéficient d’une protection maximale contre l’espionnage industriel et d’une garantie de disponibilité et de continuité des services cloud.
Dans les secteurs sensibles, une organisation multi-sites fait face à deux exigences en matière de collaboration : maintenir des échanges fluides entre des équipes distantes, et garantir la confidentialité de ces communications. Face à ces besoins, le premier réflexe est souvent de multiplier les outils, ce qui rajoute de la complexité et de nouvelles surfaces d’attaques potentielles.
La réponse se situe plutôt dans la centralisation : offrir un espace par équipe ou projet, où messagerie, fichiers et visioconférence coexistent dans un périmètre unique, chiffré de bout en bout par défaut. Un cadre dans lequel chaque collaborateur, chaque partenaire externe, travaille de manière fluide sans que le niveau de sécurité soit laissé à sa discrétion.
Quand la dispersion des échanges devient un risque
Lorsque des équipes sont réparties sur plusieurs sites ou territoires, chacune développe naturellement ses propres habitudes :
un canal de messagerie alternatif,
un espace de stockage partagé en dehors du SI,
des e-mails qui se perdent…
L’information circule, mais personne ne la contrôle entièrement.
C’est ainsi qu’une décision prise lors d’un échange informel entre deux sites ne remonte pas ou qu’un document de référence finit par exister en plusieurs versions. Cette création de silosd’informations, délétère pour l’efficacité et la motivation des collaborateurs, résulte bien souvent d’outils de collaboration inadaptés aux usages des équipes et d’un manque de gouvernance.
Shadow IT et Shadow AI, signaux d’alarme silencieux
Quand l’outil officiel est trop contraignant ou trop peu intuitif, les équipes le contournent et créent le shadow IT. Selon le Security Navigator 2025 d’Orange Cyberdefense, 38% des employés utilisent des applications non approuvées en raison des temps de réponse trop lents de la DSI.
Avec l’essor de l’IA générative et des assistants virtuels intelligents, ce phénomène prend une dimension nouvelle avec le shadow AI.
L’étude State of AI in Business 2025 du MIT NANDA révèle qu’aux États-Unis, plus de 90% des salariés utilisent des comptes personnels d’outils d’IA générative. En Europe, la quantité de données sensibles injectées dans ces outils non maîtrisés est passée de 10% à plus de 25% en un an (IDC, AI in EMEA 2025).
Dans des environnements sensibles, les prompts ou données partagés dans ces outils sont autant d’angles morts supplémentaires pour le DSI et des vecteurs potentiels de cybermenaces pour le RSSI.
Des risques qui s’ajoutent aux difficultés d’uniformiser les bonnes pratiques informatiques des organisations multi-sites. L’enjeu est donc de répondre à ces nouveaux usages avec un outil qui offre les mêmes capacités, mais dans un périmètre maîtrisé.
Partenaires et sous-traitants, des points de contact toujours maîtrisés ?
La collaboration multi-sites ne se limite pas aux équipes internes. Dans les secteurs critiques, elle implique souvent un écosystème plus large : sous-traitants, partenaires industriels, autorités de tutelle, prestataires techniques…
Chacun de ces interlocuteurs représente un point de contact supplémentaire et une surface d’attaque potentielle si les conditions d’accès ne sont pas strictement encadrées. Le baromètre 2025 du CESIN note un nombre élevé d’attaques sur la supply chain : en France, les attaques indirectes dues à un tiers ont touché 35 % des entreprises en moyenne, et 43 % des grandes entreprises.
Au niveau européen, la directive NIS 2 contient d’ailleurs des exigences importantes pour la sécurité de la chaîne d’approvisionnement, sous peine d’importantes sanctions financières (jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles).
Ces trois réalités, pratiques qui divergent, outils non maîtrisés et risques liés aux partenaires, ont un point commun : elles résultent toutes d’une gouvernance insuffisante des outils de collaboration.
Un outil qui ne correspond pas aux usages réels sera contourné tout comme un outil qui ne couvre pas l’ensemble du périmètre laissera des angles morts. L’enjeu est donc de sécuriser les échanges mais aussi de s’assurer que l’ensemble du périmètre de collaboration l’est.
Les Workspaces Tixeo : un espace de travail unifié pour les équipes et projets
Un Workspace Tixeo est un espace dédié à une équipe ou un projet, qui regroupe dans un seul périmètre tout ce dont les membres ont besoin pour collaborer : messagerie instantanée, partage de fichiers, open-space-virtuel et visioconférence.
Cloisonner sans rigidifier
Certains projets sensibles nécessitent une protection accrue des échanges tandis que d’autres pôles vont privilégier la rapidité de communication. Pour répondre à ces différents besoins, une organisation peut définir autant de Workspaces :
par projet,
par équipe métier,
par partenaire externe…
Les échanges d’un Workspace sont historisés : chaque nouveau membre ajouté accède à l’historique complet des messages et fichiers partagés, ce qui facilite son intégration et la transmission d’information.
De la messagerie à la visio, sans changer d’outil
Dans le quotidien d’une équipe dispersée sur plusieurs sites, la perte de temps vient principalement de la recherche d’informations, que ce soit dans une boite mail ou dans une messagerie. Relancer une conversation depuis un autre canal, programmer une réunion pour clarifier un point sont autant de procédés qui freinent l’efficacité et engendrent des tensions.
Dans chaque Workspace Tixeo, les membres peuvent s’envoyer des messages, se voir dans l’espace virtuel, partager des fichiers et basculer en visioconférence depuis le même environnement.
Les informations restent dans un périmètre contrôlé, sans devoir jongler entre applications et sans perte de contexte entre un échange écrit et une réunion. La traçabilité des communications, qui demeure une exigence forte dans les secteurs réglementés, est assurée par défaut.
Un échange écrit peut devenir un appel en un clic, une décision prise en réunion peut être immédiatement documentée dans le même espace. C’est ce qui rend l’outil suffisamment fluide pour que les équipes l’adoptent au quotidien, et suffisamment centralisé pour que les DSI gardent la main.
Interface Workspace Tixeo avec messagerie instantanée, partage de fichiers, visioconférence et open-space virtuel
La spontanéité retrouvée entre sites distants
L’autre défi de la collaboration hybride ou multi-sites est de recréer la réactivitédu bureau physique : poser une question rapide à un collègue, clarifier un point sans programmer une réunion formelle, maintenir le lien entre des équipes géographiquement dispersées.
Pour y répondre, chaque Workspace Tixeo intègre un open-space virtuel dédié : cet espace de connexion persistant rend les membres visibles et joignables en un clic, sans lien d’invitation à générer ni salle d’attente.
Ces échanges informels, qui sont aussi souvent les plus stratégiques, retrouvent leur fluidité naturelle, depuis n’importe quel site.
L’open-space virtuel fait avancer plus vite sur des sujets opérationnels ou des réflexions tandis que la visioconférence planifiée permet de prendre des décisions ou de suivre des projets de façon plus formelle.
Mais cette fluidité retrouvée dans la capacité à échanger depuis plusieurs sites pose une question directement liée : si les échanges les plus informels sont aussi les plus fréquents, sont-ils pour autant les mieux protégés ?
Une sécurité cohérente à l’échelle de l’organisation
Dans les secteurs critiques, la sécurité des communications est généralement prise en compte pour les grandes réunions formelles et stratégiques. L’accès est contrôlé tout comme les enregistrements et la traçabilité des informations.
Un risque plus important se cache ailleurs, lorsque les visioconférences se terminent. Les échanges informels, les discussions rapides entre deux réunions, les partages de fichiers en dehors des circuits officiels sont autant de pratiques communes qui exposent des informations sensibles, souvent via des outils grand public que personne n’a formellement autorisés.
Chiffrer de bout en bout toutes les communications, mêmes les plus anodines
Quand les équipes échangent en continu depuis différents sites, le chiffrement de bout en bout doit couvrir l’intégralité des flux de communication (messagerie, fichiers, open-space virtuel, visioconférence) et ce, par défaut et quel que soit le nombre de participants.
C’est l’exigence retenue par l’ANSSI dans ses référentiels de certification, et le standard autour duquel Tixeo a construit sa technologie depuis l’origine, avec une certification CSPN obtenue et renouvelée depuis 2017.
Cette exigence s’étend aux usages de l’IA.
Là où le shadow AI expose des données sensibles à des modèles entraînés sur les prompts des utilisateurs, l’IA intégrée aux Workspaces Tixeo fonctionne sur des serveurs isolés d’Internet : aucune donnée n’est réutilisée ni mémorisée pour entraîner des modèles externes. Les équipes peuvent transcrire ou traduire leurs réunions sans sortir du périmètre chiffré.
Gouvernance des accès : qui accède à quoi, depuis quel site ?
Pour s’assurer de la protection des échanges et des données, le chiffrement seul ne suffit pas. Les organisations doivent aussi maîtriser les conditions d’accès à leurs outils collaboratifs. Une maîtrise qui est d’autant plus primordiale lorsque les équipes sont dispersées sur plusieurs sites.
Certaines situations imposent de réagir vite :
un collaborateur qui quitte l’organisation,
un partenaire dont la mission se termine,
ou un appareil perdu ou volé.
Dans un environnement hybride, où les accès se multiplient et se diversifient, la capacité à révoquer des droits instantanément, par espace de travail ou par utilisateur, sans délai de procédure, devient essentiel.
Avec Tixeo, un administrateur peut :
révoquer instantanément les accès à un Workspace,
reprendre la main sur les droits en cas de départ imprévu
et gérer les autorisations sans complexité opérationnelle.
La question doit se poser dès la configuration des réunions.
Selon le type d’échanges, qu’ils soient internes entre sites ou avec des partenaires extérieurs, les conditions de sécurité ne sont pas les mêmes.
Définir en amont des règles par type de réunion, et les appliquer automatiquement sans dépendre de la vigilance de chaque organisateur, est ce qui rend la politique de sécurité cohérente et facilement applicable à l’échelle d’une organisation et de l’ensemble de ses sites.
Un déploiement adapté à chaque organisation
Enfin, la question du déploiement d’un outil collaboratif compte tout autant que ses atouts technologiques.
En effet, héberger ses communications sur un cloud étranger, même chiffré, expose à des risques juridiques et réglementaires que certains secteurs ne peuvent pas accepter (Cloud Act).
Les contraintes d’infrastructure peuvent ainsi varier selon les organisations :
si certaines imposent un hébergement sur leurs propres serveurs (on-premise), pour garder la maîtrise totale,
d’autres préfèrent se diriger vers le cloud, à condition qu’il soit souverain et qualifié, pour plus d’agilité sans compromis sur la protection des données.
Tixeo s’adapte aux deux configurations : déploiement on-premise ou cloud souverain qualifié SecNumCloud, tout en proposant le même niveau de sécurité et la même expérience utilisateur.
Pour les organisations les plus sensibles, le déploiement on-premise garantit une indépendance totale vis-à-vis de toute infrastructure tierce, y compris en situation de crise ou de rupture de service externe.
Dans un environnement multi-sites, la collaboration ne peut pas reposer sur la bonne volonté de chaque utilisateur ni sur l’empilement d’outils. Les Workspaces Tixeo apportent un cadre structuré : chaque équipe ou projet dispose d’un espace unifié, sécurisé par défaut, accessible depuis n’importe quel site.
En 2026, l’arbitrage entre agilité et sécurité n’a plus lieu d’être. Un outil collaboratif de confiance doit désormais combiner trois critères indispensables : une expérience utilisateur simplifiée, une technologie certifiée et une souveraineté numérique renforcée. Face à l’hégémonie des suites américaines, Tixeo s’impose comme l’alternative souveraine majeure pour concilier productivité et sécurité des communications.
Mais derrière l’intuitivité des solutions proposées par les GAFAM se cachent de plus en plus de risques de rupture d’activité et de fuites de données, notamment avec l’intégration de modules d’IA.
Dans un contexte d’instabilité géopolitique, l’accès aux outils comme Teams ou Google Workspace peut constituer un point de rupture. Si l’accès est suspendu pour des raisons politiques ou techniques, c’est toute la capacité de collaboration de l’organisation qui s’effondre.
Réduire sa dépendance aux GAFAM : pour quoi faire ?
La majorité des solutions collaboratives dominantes sont soumises à des lois extraterritoriales, comme le Cloud Act aux Etats-Unis. Ce cadre permet aux autorités d’exiger l’accès aux données, même si les utilisateurs sont localisés en Europe. Une porte ouverte qui facilite donc l’espionnage et l’ingérence.
Réduire cette dépendance permet aux organisations d’activer deux leviers de résilience :
Renforcer la maîtrise des données : En s’appuyant sur des hébergeurs européens, les organisations s’assurent de leur conformité au RGPD et du respect de l’intégrité de leurs données.
Améliorer la pérennité des services : Opter pour un outil collaboratif souverain préserve la continuité opérationnelle face aux coupures liées aux tensions internationales. Cette résilience est maximale si la solution souveraine est déployée directement sur les serveurs de l’organisation (on-premise), pour ne dépendre d’aucune infrastructure tierce.
Les 3 piliers d’une plateforme collaborative de confiance
Un outil collaboratif fiable doit reposer sur trois socles fondamentaux :
La sécurité intégrée dès conception (Secure by Design) : La sécurité doit être au cœur du développement. Une certification comme la CSPN de l’ANSSI est un indicateur de confiance essentiel pour les secteurs les plus contraints (Défense, Industrie, Finance).
Le chiffrement de bout en bout (E2EE) : pour garantir la confidentialité des échanges, les flux de communications ne doivent jamais être déchiffrés sur les serveurs, afin qu’aucun tiers ne puisse accéder au contenu (messages, vidéo, audio…).
Certaines lois extra-territoriales, comme le Patriot Act américain, limitent fortement le chiffrement de bout en bout en obligeant les éditeurs à intégrer des back doors (portes dérobées). En Europe, le chiffrement de bout en bout dans les messageries fait régulièrement l’objet de débats mais il n’est pas contraint par cette obligation.
La flexibilité du déploiement : la possibilité de choisir entre un Cloud souverain ou une installation sur site (on-premise) permet d’aligner l’outil sur les politiques de sécurité internes de l’entreprise.
En plus de ces critères, l’outil collaboratif, même sécurisé, doit aujourd’hui offrir une expérience utilisateur sans failles.
Les fonctionnalités de collaboration qui font la différence
L’évolution des usages montre que les silos technologiques limitent l’efficacité des organisations. Selon l’étude menée par Wakefield Research pour Atlassian, les salariés français perdraient en moyenne une journée de travail chaque mois à décrypter et parfois même à corriger des consignes mal formulées, incomplètes ou tout simplement fausses reçues par messages instantanés ou par mail.
Pour pallier à ce manque de fluidité, de nouveaux standards collaboratifs émergent :
Les Workspaces ou groupes de travail
Ils centralisent différents flux de communication en un seul espace : messagerie instantannée, gestion de fichiers ou encore visioconférence. Les membres collaborent facilement, sans perte d’informations, de façon synchrone ou asynchrone, tout en s’appuyant sur des ressources partagées. Une approche qui réduit aussi la charge cognitive en évitant la dispersion des informations entre plusieurs applications.
Quand un message ou un mail manque de clarté, les collaborateurs peuvent basculer directement en visioconférence avec un collègue présent dans l’open-space.
Le sujet peut ainsi être clarifié rapidement sans avoir besoin de programmer une réunion formelle. À la clé, moins de temps perdu dans la résolution de problèmes, moins de frustration et plus de proximité entre les équipes.
L’assitant IA
L’intégration de l’intelligence artificielle dans les outils collaboratifs transforme la productivité et permet de s’affranchir des tâches chronophages en réunion. Transcription des échanges, traduction ou encore résumé font partie des fonctionnalités clés.
Ce gain de productivité permet aux équipes de se concentrer sur la prise de décision plutôt que sur la prise de notes.
Mais l’usage massif et relativement récent de l’IA manque généralement de cadrage dans les organisations et peut créer des vulnérabilités. Une attention particulière doit être portée à la protection des données collectées mais aussi à leur hébergement, pour que ces agents ne deviennent pas des espions à la recherche d’informations stratégiques.
Pour évaluer la pertinence d’un outil collaboratif, les décideurs IT s’appuient désormais sur ce triptyque :
Pour les éditeurs européens de logiciels collaboratifs, le défi est clair : offrir aux organisations une expérience aussi fluide que celle des outils connus du grand public, tout en garantissant une sécurité absolue pour les échanges les plus critiques.
Des alternatives existent déjà pour y répondre et ne plus choisir entre expérience utilisateur et conformité réglementaire.
Dans ce contexte, l’éditeur français Tixeo propose une nouvelle approche de la collaboration sécurisée. Historiquement reconnu pour son expertise en matière de visioconférence sécurisée, Tixeo offre désormais comme une plateforme visiocollaborative globale, entièrement chiffrée de bout en bout.
Ses utilisateurs bénéficient d’une expérience de collaboration fluide, sans compromis sur la sécurité, avec :
Les Workspaces Tixeo, des espaces 3-en-1 chiffrés de bout en bout avec messagerie, partage de fichiers et visioconférence, chacun bénéficiant du chiffrement de bout en bout activé par défaut ;
Une IA souveraine pour transcrire, traduire et résumer, hébergée sur des serveurs privés Tixeo et déconnectés d’Internet, sans mémorisation des requêtes et des données ;
Une sécurité adaptative avec la personnalisationdes niveaux de sécurité des réunions, selon la sensibilité des échanges.
Interface Workspace Tixeo avec messagerie instantanée, partage de fichiers, visioconférence et open-space virtuel
Pourquoi choisir Tixeo pour collaborer ?
Au-delà de la technologie, Tixeo renforce l’autonomie stratégique des organisations : le développement R&D et le support sont basés en France et l’hébergement Cloud est 100% souverain en Europe.
Des organisations dans les secteurs les plus sensibles lui font déjà confiance pour protéger leurs échanges critiques, comme Naval Group ou Dassault Aviation.
Les points forts Tixeo :
Plateforme collaborative complète et chiffrée de bout en bout
Certification CSPN de l’ANSSI depuis 2017
Conformité RGPD, NIS 2 et DORA
Développement R&D et support en France
Déploiement cloud public, privé (qualifié SecNumCloud) ou on-premise
Opter pour un outil collaboratif souverain et sécurisé n’est plus une contrainte. En garantissant confidentialité et résilience, des solutions comme Tixeo permettent aux organisations de renforcer leur efficacité, tout en prenant en compte leurs exigences.
Microsoft mettra fin au support étendu de Skype for Business Server (2015 et 2019) le 14 octobre 2025. À cette date, les organisations clientes peuvent migrer vers une solution cloud ou plus coûteuse, ou saisir l’opportunité de déployer une alternative européenne, certifiée et on-premise.
Une rupture technologique et stratégique
L’annonce de la fin du support de Skype for Business Server (prévue en octobre 2025) marque un tournant décisif pour les entreprises et administrations qui avaient fait le choix d’une infrastructure de communication déployée sur site, hors des grands clouds publics.
Suite à ce retrait, les organisations clientes sont invitées à migrer vers Microsoft Teams, solution dans le cloud présentée comme l’alternative « la plus simple » par le GAFAM, mais loin d’être la plus sécurisée. Ce basculement impose une dépendance technologique et juridique extraterritoriale aux organisations, dans le cloud américain.
Pour les clients qui souhaitent maintenir une solution Microsoft on-premise, la démarche devient un véritable défi stratégique et opérationnel. Les coûts de migration souvent importants, les contraintes liées aux ajustements d’abonnement, ainsi que la problématique liée aux ressources techniques disponibles rendent cette option non seulement complexe à mettre en œuvre, mais également difficilement soutenable sur le plan économique.
Mais des solutions existent.
Changer d’outil, sans compromettre vos exigences
La tentation d’une migration rapide vers Microsoft Teams peut paraître naturelle. Pourtant, cette transition s’accompagne de nombreuses zones de risque :
Données hébergées dans le cloud américain soumis au Cloud Act (législation permettant aux autorités américaines, sous conditions, d’accéder aux données des utilisateurs) ,
Complexité du modèle de gouvernance des accès et des audits,
Évolutions fonctionnelles non maîtrisées,
Perte d’autonomie technique.
Si votre organisation doit répondre à des contraintes réglementaires,comme NIS 2 ou DORA, ou souhaite renforcer sa souveraineté numérique, le passage à Teams pose plus de questions qu’il n’apporte de réponses.
Déployer une nouvelle solution de communication on-premise, respectueuse de vos exigences de sécurité, de souveraineté et de conformité réglementaire serait donc une voie à privilégier.
Pourquoi conserver l’approche on-premise pour sa solution de communication ?
Le maintien d’une solution on-premise répond à des besoins de fond, bien au-delà du simple aspect technique. Ses principaux bénéfices :
Une installation sur-mesure, adaptée à l’infrastructure et aux contraintes de votre SI ;
Une maîtrise totale des données, garante de la conformité au RGPD : hébergement local, contrôle des flux et métadonnées, conservation encadrée des contenus et des journaux de connexion ;
Une sécurité renforcée, grâce à une isolation du service, y compris dans des environnements classifiés ou sensibles (ex : défense, industrie, énergie, finance) ;
4 critères à ne pas négliger dans le choix de votre alternative
Pour identifier une solution de remplacement à Skype for Business Server, plusieurs critères de sélection doivent être évalués :
L’approche Secure by Design
La première exigence concerne la sécurité dès la conception du logiciel.
Son architecture doit être pensée selon une approche « Secure by Design », sans port réseau entrant ouvert et en traitant les potentielles vulnérabilités à la source, afin de limiter les surfaces d’attaque. Elle doit également proposer des mécanismes d’authentification robustes et d’une gestion fine et rigoureuse des accès et des droits utilisateurs.
Une solution de communication crédible doit aussi garantir un chiffrement de bout en bout pour les flux de communications audio, vidéo et data (messagerie, fichiers…).
La souveraineté technologique
La solution alternative doit limiter ses dépendances à des technologies étrangères (ou exposées à des juridictions extraterritoriales comme le Cloud Act) notamment pour ses composants les plus critiques.
S’appuyer sur une technologie propriétaire, développée par une entreprise européenne dont la R&D, le siège social, les capitaux et le support sont intégralement basés en Europe, offre davantage de sécurité et de confiance. L’indépendance vis-à-vis d’acteurs extra-européens garantit une maîtrise complète de l’infrastructure.
La conformité réglementaire
L’outil de communication doit être pleinement conforme au RGPD, tant sur le plan du traitement des données personnelles que sur celui de la traçabilité des actions. Il doit aussi pouvoir accompagner les organisations dans le respect des nouvelles réglementations européennes :
la directive NIS 2 pour la cybersécurité des organisations, fournisseurs et sous-traitants sensibles,
ou le règlement DORA pour la résilience numérique opérationnelle dans le secteur financier.
Le déploiement et l’interopérabilité
Enfin, la capacité d’intégration et d’interopérabilité de la plateforme de communication alternative ne peut être négligée.
La solution doit pouvoir s’interfacer avec les infrastructures existantes, notamment via les protocoles standards comme SIP ou H.323, et offrir des connecteurs ou API facilitant son intégration au sein du système d’information.
La simplicité de déploiement est également un atout dans les environnements complexes ou fortement sécurisés.
Tixeo : une réponse européenne, souveraine et sécurisée
Tixeo, solution de visioconférence sécurisée développée en Europe, répond aux exigences les plus strictes en matière de sécurité, de souveraineté numérique et de conformité réglementaire.
Elle constitue aujourd’hui une alternative crédible et éprouvée à Skype for Business Server, dans un contexte où les organisations cherchent à préserver la maîtrise de leurs communications stratégiques.
Technologie 100 % propriétaire, certifiée CSPN par l’ANSSI, Tixeo permet un déploiement entièrement on-premise (TixeoServer), y compris dans des environnements sensibles ou isolés (air-gapped).
Besoin de communiquer dans des environnements sensibles ou contraints
Compatible environnement Air Gap et déconnecté d’Internet
Sensibilité des échanges (défense, industrie, énergie, finance…)
Chiffrement de bout en bout certifié CSPN par l’ANSSI
Conformité réglementaire RGPD / NIS 2 / DORA
Accompagnement et conformité garantie
Volonté d’indépendance technologique
Solution 100 % propriétaire, européenne et sans dépendances externes
Ils font déjà confiance à Tixeo
Déjà adoptée par des ministères, des agences de défense, des institutions financières et des industriels critiques, Tixeo s’impose comme un choix stratégique pour toutes les organisations souhaitant garder le contrôle de leurs communications les plus sensibles, sans compromis sur la sécurité ni sur la souveraineté.
Garder le cap dans un contexte incertain
À l’heure où les tensions géopolitiques, les cybermenaces et les enjeux de souveraineté numérique s’intensifient, le choix d’un outil de communication n’est plus anodin et le « tout-cloud » imposé n’est pas l’unique voie.
La fin de Skype for Business Service est l’opportunité unique de repenser ses infrastructures de communication pour :
renforcer sa sécurité,
reprendre le contrôle de ses données
et garantir une autonomie numérique à long terme.
Depuis plus de 20 ans, Tixeo incarne cette vision, avec une solution souveraine, robuste et fiable.
La sécurité des données dans le cloud, notamment en ce qui concerne le stockage et le partage de data, est devenue un enjeu crucial avec l’adoption massive de ces technologies en Europe. Mais qu’est-ce qui fait qu’un cloud est véritablement sécurisé ? Plusieurs critères essentiels entrent en jeu : le chiffrement (ou cryptage) des données pour protéger les informations sensibles, une gestion rigoureuse des identités et des accès pour empêcher les intrusions non autorisées, la redondance et les sauvegardes pour éviter la perte d’informations, ainsi qu’une surveillance constante pour détecter et gérer les incidents. De plus, l’accessibilité depuis différents appareils et la synchronisation des données sont des aspects importants pour un usage efficace.
Des certifications comme l’ISO/IEC 27017 ou la qualification SecNumCloud attestent de la conformité duservice aux normes internationales de sécurité, offrant des garanties supplémentaires de protection. Le schéma européen EUCS, actuellement en discussion, vise à harmoniser la sécurité des infrastructures cloud à travers l’Europe afin de fournir un cadre strict, bien que des débats subsistent sur certaines exigences, notamment l’immunité aux lois extraterritoriales.
Comprendre les distinctions entre un cloud souverain et un cloud de confiance est également primordial, surtout en ce qui concerne la souveraineté des données protégées et l’indépendance vis-à-vis des réglementations étrangères. Des solutions logicielles comme Tixeo illustrent l’importance de choisir des services cloud sécurisés et fiables pour les organisations professionnelles sensibles, en assurant la confidentialité et l’intégrité des données partagées en ligne.
Alors que la construction du schéma EUCS continue de faire débat en Europe, la protection des données dans le cloud, qu’il s’agisse du stockage en ligne ou des services de drive, est plus que jamais d’actualité. Parmi l’offre étendue de services et d’hébergements proposés, comment reconnaître un cloud véritablement sécurisé, simple d’utilisation et accessible ? Quels sont les critères indispensables pour une protection optimale des données ? Pourquoi le chiffrement des données et la gestion des identités et des accès font partie des critères essentiels dans la sécurisation de vos données sensibles ?
Un cloud dit sécurisé répond à des spécificités techniques (authentification, chiffrement, sauvegarde…) et réglementaires (conformité, localisation, disponibilité…) pour assurer la sécurité des données hébergées.
Choisir un cloud sécurisé : pourquoi est-ce important ?
Dans les secteurs d’activités sensibles, le recours à un hébergement cloud sécurisé revêt une importance capitale pour protéger des informations hautement confidentielles. En effet, le cloud sécurisé garantit à la fois la protection des données grâce à différents mécanismes de sécurité (chiffrement, gestion stricte des accès, sauvegarde…), mais assure également une stricte conformité avec des normes internationales. En choisissant un service cloud sécurisé, les organisations limitent les risques d’intrusion, de perte et de vol de données ainsi que les interruptions de service. En cas d’incident, la sécurité du cloud permettra de garantir la récupération des données et la continuité des activités.
Les principaux critères de sécurité
Chiffrement des données
Le chiffrement consiste à rendre illisible les données hébergées dans le cloud afin d’éviter tout vol, lecture ou compromission.
En janvier 2024, la CNIL a publié un guide sur « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public ». La Commission rappelle ainsi que le chiffrement des données reste « l’une des principales mesures permettant de garantir la confidentialité des données dans un système informatique. ». Pour cela, une bonne gestion des clés ainsi qu’une robustesse des algorithmes de chiffrement sont indispensables pour que la protection des données soit effective.
La CNIL indique ainsi plusieurs niveaux de chiffrement des données selon leur état d’utilisation. Par exemple, pour des données au repos (c’est-à-dire simplement stockées), 4 niveaux de chiffrement sont possibles :
chiffrement de disque ;
chiffrement au niveau du fichier ;
chiffrement de base de données ;
chiffrement au niveau de l’application.
Par ailleurs, le chiffrement de données en transit doit reposer sur « la création d’un tunnel sécurisé entre le client et le serveur cloud, ou entre différentes machines du cloud », dans lequel les données sont chiffrées à l’envoi et déchiffrées à réception.
Gestion des identités et accès
La gestion des identités et des accès dans le cloud consiste d’abord à recenser, dans une base de données, les personnes considérées comme légitimes pour accéder à certaines données. Différentes informations peuvent être listées sur leur identité et leur rôle dans l’entreprise ainsi que sur la typologie d’informations à laquelle ils peuvent accéder.
Les mises à jour de ces bases ainsi que la mise en place en place d’authentification multi-facteur sont indispensables pour contrôler les connexions et éviter des intrusions indésirables. De plus, un suivi précis des accès est recommandé pour évaluer la sécurité et répondre à des audits.
Redondance des données
Au-delà de la haute disponibilité des données, promise par de nombreux fournisseurs cloud, la redondance constitue un critère de sécurité important. En effet, alors que la disponibilité correspond au fait de pouvoir accéder aux données à tout moment, la redondance assure que des copies de données soient stockées sur différents serveurs, afin de faciliter l’accès aux données en cas de défaillance ou de panne. Ces mécanismes de redondance doivent être suffisamment robustes afin d’éviter la perte de données. Pour les évaluer, il peut être intéressant de s’attarder sur les pourcentages de durabilité garantis par les fournisseurs cloud, généralement mesurés en 9.
Sauvegarde et récupération après sinistre
Comme pour la redondance, la sauvegarde en cloud permet d’éviter une perte de données, mais aussi d’assurer la continuité d’activité, grâce à l’envoi d’une copie des données sur un serveur secondaire. L’avantage de la sauvegarde en cloud est qu’elle s’exécute automatiquement sans nécessiter d’intervention de l’entreprise. Le fournisseur cloud a pour rôle de garantir cette sécurité essentielle.
La gestion des incidents consiste à mettre en place des processus de notification et de résolution en cas d’incidents dans le cloud, afin d’éviter toute perte d’intégrité des données. Pour cela, il est essentiel de bénéficier d’une vue globale sur les ressources allouées ainsi que sur les opérations et les services critiques utilisés.
Conformité aux normes en vigueur
La norme ISO/IEC 27017
La sécurité d’un cloud se mesure également par sa conformité aux normes en vigueur. La norme ISO/IEC 27017, reconnue internationalement, délivre des conseils en matière d’implémentation et de contrôle des services cloud. Elle garantit ainsi la sûreté de l’environnement cloud.
Le schéma de certification européen EUCS
À l’échelle européenne, les services cloud pourront bientôt être certifiés par le premier schéma de certification européen du cloud (European Cybersecurity Certification Scheme for Cloud Services, EUCS).
Son objectif est d’homogénéiser la sécurité du cloud en Europe en créant un cadre commun et en favorisant la souveraineté européenne. Mais sur ce dernier thème, les avis divergent. Récemment, « l’imperméabilité aux lois extraterritoriales » du service cloud, un des critères d’exigence les plus stricts de la certification, a été supprimé. La France et plusieurs pays s’y opposent depuis plusieurs mois et les discussions sont toujours en cours. Récemment, la Commission Supérieure du Numérique et des Postes et la CNIL ont confirmé que cette suppression représentait un danger pour la souveraineté des données sensibles.
La qualification SecNumCloud
En France, la qualification SecNumCloud a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing. Pour en bénéficier, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel, comprenant plus de 350 points d’exigence. Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
À noter que la qualification SecNumCloud est le référentiel de sécurité le plus exigeant en matière de protection des données cloud et de souveraineté numérique. Son prochain remplacement par le schéma commun EUCS pose ainsi d’autant plus question, si la suppression de l’exigence d’immunité extraterritoriale dans l’EUCS venait à être confirmée. En plus de représenter un danger pour la sécurité des données, cela pourrait diminuer de facto le niveau de sécurité global du cloud français et européen.
Localisation des données (transit, repos, utilisation)
Localisation des services et applications tierces
Localisation des équipes d’admin / exploitation
Localisation des sous-traitants
Localisation si chaîne de sous-traitance
Localisation des personnes à accès à privilèges
Localisation des supervisions / sauvegardes
Localisation du siège de la société
Nationalité des services ou produits utilisés
Nationalité du ou des hébergeurs
Nationalité des personnels à accès techniques
Nationalité des fonds de capitaux
Montage juridique de la société / entité
Certifications pour l’hébergeur
L’ensemble de ces critères permettent « d’objectiver le niveau de confiance numérique d’une solution d’hébergement » cloud, notamment pour les entreprises évoluant dans des secteurs critiques.
Cloud souverain et cloud de confiance : quelles différences ?
Parfois confondues, les notions de « cloud souverain » et de « cloud de confiance » affichent une certaine complémentarité. Dans le document du Clusif précédemment cité, leurs liens font l’objet d’une explication détaillée.
Pour résumer, on parle de cloud de confiance lorsque le service permet de « garantir la préservation des intérêts des organisations et des utilisateurs en matière de protection des données ».
Cependant, dans certains secteurs stratégiques, l’approche de la sécurité va plus loin et englobe un besoin de souveraineté numérique. Ainsi, le cloud souverain assure la protection des « intérêts fondamentaux d’un Etat ainsi que ceux de ses organisations nationales et de ses utilisateurs » grâce à un contrôle total des données et une indépendance vis-à-vis des réglementations étrangères. Les critères de localisation des données et des services deviennent ainsi primordiaux et doivent garantir une immunité aux lois extra-territoriales, plus souples que le cadre européen en matière de protection des données. Tout en évitant toute « fuite de valeur économique ».
Cette complémentarité permet d’associer sécurité technique des données avec garanties d’indépendance, afin d’offrir aux organisations une protection complète de leurs donnes dans le cloud et une autonomie stratégique.
Tixeo, solution de visioconférence sécurisée dans le cloud souverain
Au sein de secteurs stratégiques et sensibles, comme l’Industrie, la Justice ou les administrations publiques, la digitalisation des informations et de la collaboration se poursuit. Dans ces environnements contraints, la protection des données hébergées dans le cloud est essentielle, d’autant plus lorsque les cybermenaces se multiplient.
Les outils de collaboration et de visioconférence dans le cloud doivent ainsi garantir la plus haute sécurité aux données contre les tentatives d’intrusion et les lois extraterritoriales, permissives en matière d’accès aux données.
Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
Qu’est-ce que la sécurité du cloud et pourquoi est-elle importante ?
La sécurité du cloud englobe l’ensemble des technologies, politiques et contrôles destinés à protéger les données stockées, les applications logicielles et les infrastructures hébergées dans le cloud contre les menaces potentielles. Elle est cruciale pour prévenir les violations de données, assurer la conformité aux réglementations et maintenir la confiance des utilisateurs envers les services cloud, notamment en facilitant le partage sécurisé des informations.
Quels sont les principaux risques liés à la sécurité du cloud ?
Les risques majeurs incluent les violations de données, les menaces internes, les API non sécurisées, le détournement de comptes et les cyberattaques. Ces menaces peuvent compromettre la confidentialité, l’intégrité et la disponibilité des données stockées dans le cloud, entraînant des conséquences financières et réputationnelles pour les organisations. Une infrastructure sécurisée est donc une priorité élevée pour protéger le matériel et les logiciels utilisés.
Comment évaluer la fiabilité et la sécurité d’un fournisseur de cloud ?
Pour évaluer la fiabilité d’un fournisseur de cloud sécurisé, vérifiez ses certifications de sécurité reconnues (comme ISO 27001), sa conformité aux réglementations telles que le RGPD et consultez les audits de sécurité indépendants. Considérez également sa réputation, les avis clients et les protocoles de protection des données qu’il utilise. Assurez-vous que ses services offrent un espace de stockage conforme à vos exigences et des paramètres de sécurité personnalisables.
Quels mécanismes de sécurité un cloud sécurisé devrait-il offrir ?
Un cloud sécurisé doit inclure le chiffrement des données en transit et au repos, l’authentification multifacteur, des pare-feux avancés, des systèmes de détection et de prévention des intrusions, ainsi que des protocoles pour la détection et la prévention des cybermenaces. Il doit également proposer des logiciels fiables pour faciliter le partage et le classement des données.
Qu’est-ce que le chiffrement des données et comment protège-t-il mes informations dans le cloud ?
Le chiffrement des données est le processus de conversion des informations en un code illisible sans la clé de déchiffrement appropriée. Cela protège les informations sensibles lors du stockage et de la transmission, garantissant que même en cas d’accès non autorisé, les données restent inexploitables pour les individus malveillants. Chiffrer vos données est donc essentiel pour retrouver une confidentialité optimale.
Qu’est-ce que le chiffrement “zero-knowledge” et pourquoi est-il important ?
Le chiffrement “zero-knowledge” signifie que le fournisseur de services cloud ne détient aucune connaissance des clés de chiffrement de vos données. Seul l’utilisateur possède ces clés, garantissant que même le prestataire ne peut accéder à vos informations. Cette approche maximise la confidentialité et protège vos données stockées contre tout accès non autorisé, même au niveau du matériel ou de l’infrastructure du fournisseur.
Comment l’authentification et les contrôles d’accès renforcent-ils la sécurité du cloud ?
L’authentification et les contrôles d’accès sont essentiels pour garantir que seules les personnes autorisées peuvent accéder aux données et aux services dans le cloud. Des mécanismes tels que l’authentification multifacteur ajoutent une couche supplémentaire de sécurité, réduisant le risque d’accès non autorisé et de compromission des comptes. Les paramètres de sécurité permettent de partager des fichiers en toute confiance et de retrouver facilement qui y a accès.
Quelles mesures puis-je prendre pour renforcer la sécurité de mes services cloud ?
Vous pouvez renforcer la sécurité en utilisant des mots de passe forts et uniques, en activant l’authentification multifacteur, en gérant soigneusement les accès, en surveillant les activités suspectes et en mettant en place des mesures de sauvegarde régulière. Il est également conseillé de maintenir vos logiciels à jour, de classer vos documents dans des dossiers sécurisés et de chiffrer vos données sensibles.
Pourquoi la localisation des centres de données est-elle importante pour la sécurité ?
La localisation des centres de données influence la juridiction légale et les lois de protection des données applicables. Stocker vos données dans des pays avec des lois strictes sur la protection de la vie privée, comme ceux de l’Union européenne, peut offrir une protection juridique accrue et limiter les risques d’accès non autorisé par des tiers ou des gouvernements étrangers. Cela garantit également que l’infrastructure matérielle respecte des normes de sécurité élevées.
Comment les lois sur la protection des données, comme le RGPD, affectent-elles l’utilisation du cloud ?
Le Règlement Général sur la Protection des Données (RGPD) impose des normes strictes pour la protection des données personnelles dans l’UE. Un fournisseur cloud conforme au RGPD garantit que vos données sont traitées légalement et en toute transparence, réduisant ainsi les risques de non-conformité et de sanctions associées. Il est important que votre fournisseur de cloud soit conforme à ces réglementations pour éviter des sanctions légales et assurer un espace de travail sécurisé.
Quelle est la différence entre la sécurité des données et la confidentialité des données dans le cloud ?
La sécurité des données concerne la protection contre les accès non autorisés, les violations et les pertes de données. La confidentialité des données se concentre sur la protection des informations sensibles afin qu’elles ne soient pas divulguées à des tiers non autorisés. Les deux aspects sont cruciaux pour garantir que vos données, qu’elles soient stockées ou partagées, restent protégées.
Quelle est l’importance des accords de niveau de service (SLA) avec un fournisseur cloud ?
Un SLA définit les engagements du fournisseur en termes de disponibilité, de performance et de support. Il offre une garantie contractuelle sur la qualité du service et précise les recours en cas de non-respect, assurant ainsi une certaine résilience et fiabilité du service. Cela vous permet de retrouver rapidement l’accès à vos données et applications en cas de problème, garantissant une continuité d’activité élevée.
Comment un cloud sécurisé gère-t-il la sauvegarde et la récupération des données ?
Il propose des solutions de sauvegarde régulières et automatisées, ainsi que des plans de reprise après sinistre pour restaurer rapidement les données en cas de perte, de suppression accidentelle ou de cyberattaque. Des fonctionnalités de versionnage des fichiers peuvent également être disponibles, facilitant le classement et la récupération de vos documents dans vos drives ou logiciels de gestion.
Qu’est-ce que la résilience dans le cloud et pourquoi est-elle importante ?
La résilience fait référence à la capacité du système cloud à continuer de fonctionner malgré les pannes ou les attaques. Une haute résilience assure une disponibilité constante de vos données et services, minimisant ainsi les interruptions d’activité et permettant un retour à la normale rapide. Cela est essentiel pour les infrastructures critiques et les applications bureautiques utilisées quotidiennement.
Puis-je contrôler qui a accès à mes fichiers stockés en ligne ?
Oui, la plupart des services sécurisés offrent des options de gestion des permissions, vous permettant de définir qui peut voir ou modifier vos fichiers. Vous pouvez généralement partager des liens avec des niveaux d’accès spécifiques ou restreindre complètement l’accès. Ces paramètres vous aident à partager vos documents de manière sécurisée et à retrouver facilement qui détient les permissions.
Quels critères de sécurité distinguent les meilleurs fournisseurs de stockage cloud ?
Les fournisseurs de stockage cloud les plus sécurisés offrent des fonctionnalités telles que le chiffrement “zero-knowledge”, le chiffrement de bout en bout, une conformité rigoureuse aux normes de sécurité internationales, l’authentification multifacteur et une conformité à des juridictions favorables à la protection stricte des données et de la vie privée. Ils disposent également d’infrastructures matérielles robustes et de logiciels performants pour détecter et prévenir les cybermenaces.
Comment choisir le service de stockage en ligne le plus adapté à mes besoins en sécurité ?
Évaluez les fonctionnalités de sécurité offertes, telles que le chiffrement des données, l’authentification multifacteur et la politique de confidentialité. Vérifiez les certifications de sécurité, la conformité aux réglementations comme le RGPD et la localisation des centres de données. Considérez également la réputation du fournisseur, les avis d’experts en cybersécurité, et si le service permet de stocker, retrouver et partager vos fichiers facilement grâce à des logiciels ou drives intuitifs.
