Niveaux de classification cloud OTAN : architecture d'infrastructure non classifiée, secrète et très secrète

Par Équipe d'ingénierie Corvus Intelligence · À propos de l'équipe →

4 juin 2026 9 min de lecture

Le cadre de classification de l'OTAN divise les informations en quatre niveaux — NATO Non classifié (NU), NATO Restreint (NR), NATO Confidentiel (NC) et NATO Secret (NS) — avec Cosmic Top Secret (CTS) au-dessus de tous pour les informations alliées les plus sensibles. Chaque niveau impose des exigences distinctes en matière d'infrastructure, de personnel et de processus. Un logiciel qui opère sur plus d'un niveau ne peut pas traiter la classification comme une considération secondaire ; le modèle de niveaux est une architecture structurante.

Pour les éditeurs de logiciels de défense, comprendre comment ces niveaux correspondent à l'infrastructure physique, à l'architecture réseau, aux systèmes d'identité et aux processus d'accréditation n'est pas facultatif. Un produit certifié uniquement pour les environnements NATO Non classifié ne sera pas accepté pour les opérations NATO Secret, quelle que soit sa capacité technique. Inversement, sur-dimensionner un système aux normes Secret lorsque Non classifié suffit génère des coûts inutiles et des risques calendaires. Définir correctement le niveau cible dès le départ est la décision architecturale la plus déterminante dans un programme OTAN.

Le modèle de niveaux de classification OTAN

La politique de sécurité OTAN, régie par C-M(2002)49 et ses documents successeurs, définit les niveaux de classification comme des indicateurs du préjudice qu'une divulgation non autorisée causerait. Les implications pratiques en termes d'infrastructure pour chaque niveau sont significatives :

NATO Non classifié (NU) couvre les informations publiquement diffusables et les données administratives internes ne nécessitant aucune protection au-delà de l'hygiène informatique standard. Les systèmes NU peuvent utiliser des services cloud commerciaux, une infrastructure partagée et des réseaux standard connectés à Internet. Le catalogue de services cloud NCIA répertorie les services commerciaux approuvés pour les charges de travail NU. Ce niveau est globalement analogue au réseau NIPR (Non-classified Internet Protocol Router) du DoD américain.

NATO Restreint (NR) est une classification intermédiaire pour les informations dont la divulgation serait préjudiciable aux intérêts de l'OTAN. NR n'est pas utilisé universellement dans toutes les nations OTAN — plusieurs États membres ne disposent pas d'un équivalent domestique Restreint. L'infrastructure pour les charges de travail NR doit se trouver dans des installations contrôlées avec des restrictions d'accès, mais peut partager du matériel physique avec d'autres charges de travail NR de différentes nations sous des contrôles de séparation logique.

NATO Confidentiel (NC) couvre les informations dont la divulgation endommagerait les intérêts de l'OTAN. Les systèmes NC nécessitent des environnements logiques dédiés, des systèmes cryptographiques approuvés (généralement issus du catalogue approuvé par la NCIA) et du personnel disposant d'une habilitation de sécurité minimale. NC est globalement analogue au réseau SIPR (Secret Internet Protocol Router) américain au niveau le plus bas.

NATO Secret (NS) est la classification opérationnelle principale pour la planification alliée sensible, le renseignement et les données opérationnelles. L'infrastructure NS doit être physiquement séparée du NC et des niveaux inférieurs — serveurs séparés, stockage séparé, réseau séparé. L'accès du personnel nécessite une habilitation NATO Secret et un besoin d'en connaître. La plupart des logiciels tactiques et opérationnels OTAN fonctionnent au niveau NS. L'équivalent américain est SECRET sur SIPR ou IL5/IL6 dans le contexte cloud.

Cosmic Top Secret (CTS) et ses caveats spéciaux (CTS/ATOMAL, CTS/BOHEMIA, etc.) nécessitent une sécurité physique équivalente à un SCIF, un isolement total des réseaux externes y compris NS, et des pools de personnel strictement limités. Les systèmes CTS ne sont exploités que dans des installations contrôlées par l'OTAN ou des installations accréditées nationalement. Aucune offre cloud commerciale, aussi bien accréditée soit-elle, ne se qualifie pour CTS.

Point clé : Les systèmes OTAN les plus opérationnellement critiques fonctionnent au niveau NS. Les fournisseurs ciblant les programmes C2, ISR et logistique fondamentaux de l'alliance doivent concevoir leur architecture pour NS dès le premier jour — adapter a posteriori les contrôles de sécurité NS à un système conçu pour NU est rarement faisable sans une reconstruction quasi-complète des couches d'identité, de cryptographie et de gestion des données.

Exigences de séparation physique par niveau

Les exigences de séparation physique sont l'expression la plus concrète des niveaux de classification, et elles influencent le coût d'infrastructure plus que tout autre facteur.

Au niveau NATO Non classifié, le partage d'infrastructure physique est autorisé. Une charge de travail NU peut s'exécuter dans un centre de données cloud commercial multi-locataires aux côtés de locataires non-OTAN, à condition que le service cloud figure sur la liste approuvée de la NCIA et que l'isolation logique (VPC, espace de nommage, séparation des locataires) soit correctement configurée. C'est le seul niveau où le cloud commercial hyperscale est une option réelle sans contrôles au niveau de l'installation.

Aux niveaux NATO Restreint et Confidentiel, l'infrastructure physique doit se trouver dans une installation accréditée par l'OTAN ou un équivalent approuvé nationalement. Les serveurs, le stockage et le matériel réseau doivent être dédiés aux charges de travail OTAN — ils ne peuvent pas être partagés avec des locataires commerciaux ou des charges de travail gouvernementales non-OTAN. Au sein d'une installation accréditée par l'OTAN, les systèmes NR et NC peuvent partager du matériel sous une séparation logique stricte, mais l'installation elle-même fournit le périmètre de sécurité physique.

Au niveau NATO Secret, la séparation physique devient plus absolue. Les serveurs, le stockage et les réseaux NS doivent être sur du matériel dédié non partagé avec des charges de travail NC ou NR. Le matériel doit se trouver dans une installation répondant aux exigences TEMPEST de l'OTAN (protection contre les émanations électromagnétiques), avec un accès par zones contrôlées et une couverture CCTV des salles de serveurs. Les supports de stockage portables utilisés dans les environnements NS doivent être suivis, contrôlés et manipulés conformément aux procédures COMSEC (sécurité des communications) de l'OTAN.

Au niveau Cosmic Top Secret, les exigences de sécurité physique se rapprochent de celles d'une installation de renseignement national : normes de construction SCIF complètes, accès du personnel via des systèmes biométriques ou à carte à deux facteurs, blindage de Faraday, et aucune connectivité réseau vers des systèmes externes — y compris d'autres réseaux classifiés — sans CDS approuvée.

Options de calcul par niveau

Commercial et GovCloud (NATO Non classifié). Les charges de travail NU peuvent être déployées sur des plateformes hyperscale commerciales (AWS, Azure, GCP) en utilisant les offres de services approuvées par la NCIA. Pour les nations membres OTAN ayant des exigences de souveraineté nationale, les plateformes cloud nationales exploitées par des fournisseurs approuvés sont préférées. Le cloud hybride NCIA fournit un environnement NU géré pour les systèmes administratifs et publics de l'OTAN.

Cloud souverain et location dédiée (NATO Restreint / Confidentiel). Les options de calcul pratiques pour les charges de travail NR/NC sont les déploiements cloud souverains — infrastructure cloud exploitée nationalement sur du matériel approuvé dans des installations contrôlées — ou des environnements cloud privés dédiés dans des centres de données accrédités par l'OTAN. Plusieurs nations OTAN ont établi des programmes cloud de défense nationaux : les Managed Cloud Services du MOD britannique, le Cloud au Centre (SFT3) en France, et le programme cloud de la Bundeswehr Informationstechnik GmbH (BWI) allemande. Ces plateformes sont conçues spécifiquement pour héberger des données NR/NC et ont subi une accréditation nationale.

Infrastructure souveraine isolée (NATO Secret). Le calcul NS s'exécute sur une infrastructure isolée — serveurs physiquement isolés sans connectivité réseau externe. Le déploiement logiciel dans les environnements NS se fait via des supports accrédités (clé USB chiffrée, disque optique ou station de transfert dédiée) via une CDS. L'orchestration de conteneurs au niveau NS utilise généralement une distribution Kubernetes durcie déployée sur matériel nu ou hyperviseur privé, sans connectivité vers des registres externes ou des canaux de mise à jour. Toutes les images de conteneurs doivent être pré-extraites, vérifiées et chargées dans des registres isolés avant le déploiement.

Point clé : La gestion de la chaîne d'approvisionnement des images de conteneurs est l'un des défis opérationnels à plus fort frottement au niveau NS. Les fournisseurs déployant des applications conteneurisées dans des environnements NATO Secret doivent maintenir une nomenclature logicielle complète (SBOM), pré-qualifier toutes les images de base via le processus de révision d'images de l'installation, et accepter que les cycles de mise à jour mesurés en jours dans les environnements commerciaux seront mesurés en semaines ou en mois au niveau NS.

Architecture réseau et solutions interdomaines

Le défi réseau déterminant dans un déploiement OTAN multi-niveaux est de contrôler le flux de données à travers les frontières de classification. Les données originaires du niveau NS ne peuvent pas circuler vers les réseaux NU sans passer par une solution interdomaines approuvée. La CDS applique la politique de sécurité à la frontière — il ne s'agit pas simplement d'un pare-feu, mais d'un appareil spécialisé qui applique des règles d'inspection du contenu, de validation des données et de transformation de format définies dans le dossier d'accréditation du système.

Les dispositifs garde sont des appareils de filtrage bidirectionnels qui permettent aux types de données approuvés de circuler entre niveaux dans des conditions définies. Un garde peut autoriser la circulation de données de capteurs sanitisées du NS vers le NU pour une distribution plus large, tout en bloquant tout flux de données de planification ou de renseignement. Les gardes nécessitent une politique de filtrage de contenu détaillée approuvée par l'autorité d'accréditation, et la politique elle-même devient un artefact de sécurité qui doit être versionné et audité.

Les diodes de données sont des dispositifs de transfert unidirectionnel imposés par le matériel — physiquement, ils ne contiennent qu'un émetteur du côté haute sécurité et qu'un récepteur du côté basse sécurité, rendant impossible le flux de données dans la direction interdite. Les diodes de données sont utilisées pour le transfert en masse du haut vers le bas (par exemple, envoi de journaux tactiques sanitisés de NS vers NU pour analyse) lorsque la communication bidirectionnelle n'est pas requise. Des produits comme Owl Cyber Defense DualDiode et Waterfall Security Unidirectional Security Gateways sont courants dans les déploiements équivalents OTAN.

Les ruptures de protocole empêchent les sessions TCP/IP directes de traverser les frontières de classification. Même lorsqu'un garde autorise la circulation des données, la connexion doit se terminer au niveau du garde et être réinitiée de l'autre côté — aucune session de bout en bout n'est autorisée à traverser une frontière de niveau. Cela a des implications significatives pour les applications en temps réel : la vidéo en streaming, la voix et les flux de capteurs qui traversent de NS vers NU doivent être ré-encodés et retransmis au niveau du garde, introduisant une latence et nécessitant une négociation de format.

Pour Corvus Quantum, qui fournit de la vidéo sécurisée et du streaming de données dans les environnements de défense, les déploiements multi-niveaux nécessitent que le pipeline de streaming soit implémenté comme un relais par niveaux — un encodeur NS alimente une CDS approuvée, qui réinitie un flux sanitisé du côté NU. Le protocole de streaming doit être compatible CDS (généralement UDP avec une structure de paquets fixe que les filtres de contenu garde peuvent analyser), et non un protocole de session avec état nécessitant un TCP de bout en bout.

Gestion des identités et des accès à travers les niveaux

Chaque niveau de classification maintient sa propre ancre de confiance PKI (Infrastructure à clés publiques), et les certificats d'une PKI de niveau inférieur ne sont pas automatiquement approuvés dans un environnement de niveau supérieur. Au niveau NATO Non classifié, une PKI commerciale standard ou une PKI gouvernementale nationale peut être acceptable. Au niveau NATO Secret, l'infrastructure d'identité est la PKI OTAN — une autorité de certification dédiée exploitée par la NCIA qui émet des certificats sur des cartes à puce (jetons CIS OTAN) distribuées au personnel disposant d'habilitations NS.

La conséquence pratique pour les applications multi-niveaux est qu'un utilisateur travaillant à travers des niveaux doit avoir des identités séparées et des jetons matériels séparés pour chaque niveau. Un système qui tente de partager une seule identité entre NU et NS n'est pas accréditable. Les applications doivent implémenter des flux d'authentification séparés pour chaque niveau, sans qu'aucun jeton de session ou matériel d'identification ne traverse la frontière de niveau.

L'authentification multifacteur est obligatoire à tous les niveaux au-dessus de NU. Aux niveaux NC/NS, la norme est l'authentification basée sur certificat utilisant un jeton matériel (carte à puce PKI) plus un code PIN — la biométrie peut compléter mais ne peut pas remplacer le facteur certificat. L'authentification par mot de passe seul n'est acceptée à aucun niveau classifié. Pour les applications web déployées dans des environnements NS, le TLS mutuel avec authentification par certificat client est la base de référence, sans exceptions pour les comptes développeurs ou de service.

La gestion des accès privilégiés au niveau NS nécessite généralement des serveurs de rebond (postes de travail à accès privilégié, PAW) physiquement et logiquement isolés des postes de travail utilisateurs standard, avec toutes les sessions privilégiées enregistrées et soumises à audit. L'environnement PAW lui-même doit faire partie du périmètre du système accrédité.

Certification des logiciels et processus d'accréditation OTAN

Les logiciels opérant au niveau NC ou NS doivent être certifiés via le processus d'accréditation de sécurité OTAN, géré par l'Autorité d'accréditation de sécurité OTAN (SAA) — l'organe au sein de la NCIA responsable de l'approbation des systèmes pour opérer au sein des réseaux OTAN. Le processus d'accréditation suit la base technique INFOSEC OTAN (ITB), un ensemble d'exigences de sécurité couvrant le contrôle d'accès, la cryptographie, l'audit, la gestion des vulnérabilités et la gestion de la configuration.

Le dossier d'accréditation comprend un Plan de sécurité système (SSP) documentant le périmètre du système, les flux de données et les contrôles de sécurité ; une évaluation des risques cartographiant les risques résiduels sur l'ITB ; un Plan de gestion de la configuration ; et un Plan de réponse aux incidents. Pour les logiciels déployés dans des installations nationales dans le cadre d'accords bilatéraux, l'Autorité d'accréditation désignée nationale (DAA) — des rôles équivalents existent au Royaume-Uni (DSO), en Allemagne (BSI), en France (ANSSI) et dans d'autres États membres — peut conduire l'accréditation à la place de la SAA OTAN, mais les normes appliquées doivent satisfaire ou dépasser l'ITB.

Les fournisseurs doivent prévoir plusieurs cycles d'accréditation. L'accréditation initiale implique généralement une première soumission, un rapport de constatations de la SAA, une période de remédiation et une nouvelle soumission — le cycle complet prend régulièrement 12 à 24 mois pour les systèmes NS. Chaque version logicielle majeure qui modifie le périmètre du système, introduit de nouveaux flux de données ou altère des implémentations cryptographiques peut déclencher une ré-accréditation partielle. Intégrer la maintenance de l'accréditation dans le cycle de vie du développement produit — et non la traiter comme un événement ponctuel — est essentiel pour les programmes à horizons opérationnels pluriannuels.

Point clé : Le délai d'accréditation OTAN est le risque calendaire le plus systématiquement sous-estimé dans les programmes logiciels de l'alliance. Les fournisseurs entrant dans leur premier programme OTAN doivent prévoir 18 mois entre la première soumission du SSP et l'autorisation opérationnelle de procéder au niveau NS, et s'attendre à ce que le processus d'accréditation consomme 15 à 20 % de l'effort total d'ingénierie du programme à travers l'équipe.

Schémas de déploiement pour les applications multi-niveaux

Le schéma architectural dominant pour les logiciels OTAN multi-niveaux est le relais par niveaux : une application logique unique avec des déploiements séparés à chaque niveau de classification, connectés par des CDS approuvées pour l'échange de données contrôlé. Chaque déploiement spécifique à un niveau est un système accrédité indépendant, même s'il exécute la même base de code. Les modifications des composants partagés doivent être re-qualifiées dans le dossier d'accréditation de chaque niveau avant le déploiement.

La sanitisation des données avant la déclassification interdomaines est l'élément techniquement le plus complexe de ce schéma. Une application de reporting qui agrège des données opérationnelles NS pour leur distribution vers des réseaux NU doit implémenter un workflow de sanitisation qui supprime les champs classifiés, retire les métadonnées incorporées (données EXIF dans les images, informations d'auteur dans les documents, coordonnées GPS dans les journaux de capteurs), convertit les données vers des formats ne pouvant pas transporter d'informations classifiées incorporées, et enregistre chaque transfert avec suffisamment de détails d'audit pour reconstituer la provenance de chaque élément ayant traversé la frontière.

La sanitisation automatisée peut gérer les données structurées (enregistrements de bases de données avec des classifications de champs définies) mais est inadéquate pour les données non structurées (documents en langage naturel, images, audio). Pour la déclassification de données non structurées, une étape de révision humaine — un réviseur de classification formé inspectant le résultat sanitisé avant qu'il ne traverse la frontière — est généralement requise par les autorités d'accréditation. Un logiciel peut assister le réviseur (en mettant en évidence les passages probablement classifiés, en signalant les images contenant du matériel ou du personnel), mais la décision de révision doit être attribuable à une personne nommée et responsable.

Pour les fournisseurs dont les produits s'intègrent avec des architectures zéro confiance dans les environnements OTAN, le modèle de niveaux ajoute une dimension au modèle zéro confiance standard : en plus de vérifier l'identité, la posture du dispositif et le contexte de la requête, le moteur de politique doit également appliquer des contrôles d'accès basés sur la classification des données — s'assurant qu'un utilisateur authentifié au niveau NS ne peut pas exfiltrer par inadvertance des données NS via une interface applicative exposée au niveau NU. Cela nécessite que les étiquettes de classification soient attachées aux objets de données au point d'ingestion et appliquées à travers l'intégralité de la pile applicative, y compris les caches, les files d'attente et le stockage temporaire.

Ce que cela signifie pour les éditeurs de logiciels de défense

Le modèle de niveaux OTAN n'est pas un cadre de conformité abstrait — c'est un ensemble de contraintes d'ingénierie difficiles qui déterminent ce que vous pouvez construire, la vitesse à laquelle vous pouvez le déployer, et comment vous devez concevoir chaque flux de données. Les fournisseurs qui le traitent comme un exercice de case à cocher découvrent ses implications tardivement, lorsque la remédiation est la plus coûteuse.

Les étapes pratiques les plus importantes sont : définir votre niveau cible au début de la conception architecturale, et non après le développement ; engager la SAA OTAN ou le DAA national dans des consultations pré-accréditation avant de soumettre un dossier formel ; concevoir votre interface CDS en parallèle avec votre conception applicative, et non après ; et traiter la maintenance de l'accréditation comme une fonction d'ingénierie continue, et non comme un jalon programmatique ponctuel.

Pour des produits tels que Corvus Quantum qui diffusent des données classifiées à travers ou au sein des réseaux OTAN, l'architecture de niveaux définit l'ensemble de la topologie de streaming — emplacement des encodeurs, points d'intégration CDS, exigences de sécurité des nœuds relais, et le budget de latence disponible après prise en compte de la surcharge d'inspection CDS. Ce ne sont pas des paramètres qui peuvent être optimisés a posteriori ; ils doivent être intégrés dans le système dès la première revue d'architecture.

Discutez de votre projet

Nous concevons et déployons des logiciels sécurisés pour les programmes de défense OTAN et alliés — du cloud commercial NATO Non classifié aux déploiements NATO Secret isolés et aux architectures multi-niveaux intégrant des CDS.

Corvus Quantum → Réserver une séance

Cette analyse a été préparée par les ingénieurs de Corvus Intelligence qui développent des logiciels critiques de mission pour des organisations de défense et gouvernementales. En savoir plus sur notre équipe →

Questions fréquemment posées

AWS GovCloud peut-il héberger des données NATO SECRET ?

Non — pas directement. AWS GovCloud (US) est accrédité pour le niveau d'impact DoD américain IL5, couvrant les systèmes de sécurité nationale américains et les informations CUI. La classification NATO SECRET (NS) suit les processus d'accréditation NCIA OTAN, distincts des cadres FedRAMP et DoD IL. Les données NATO SECRET doivent résider dans une infrastructure spécifiquement accréditée par les autorités de sécurité OTAN, ce qui signifie généralement des installations appartenant à l'OTAN, un cloud souverain contrôlé par un ministère de la Défense national, ou des centres de données exploités par des contractants ayant complété l'évaluation de la base technique INFOSEC de l'OTAN. Certains programmes nationaux ont conclu des arrangements bilatéraux, mais il n'existe pas d'approbation générale pour GovCloud commercial comme hôte de données NS.

Qu'est-ce que le catalogue de services cloud NCIA OTAN ?

L'Agence OTAN d'information et de communication (NCIA) gère le catalogue de services cloud OTAN, qui répertorie les offres Infrastructure-as-a-Service, Platform-as-a-Service et Software-as-a-Service approuvées pour utilisation à travers les niveaux de classification OTAN. Le catalogue distingue les services approuvés pour NATO Non classifié (NU), NATO Restreint (NR) et NATO Confidentiel/Secret (NC/NS). La NCIA exploite le cloud hybride OTAN, combinant une infrastructure OTAN privée et des services commerciaux approuvés pour les niveaux de classification inférieurs. L'accès au catalogue et aux listes de fournisseurs approuvés nécessite un engagement via les délégations nationales ou les canaux d'approvisionnement directs de la NCIA.

Combien de temps dure l'accréditation cloud OTAN ?

Les délais d'accréditation de sécurité OTAN dépendent fortement du niveau de classification et de la portée. Pour les systèmes NATO Non classifié utilisant des services commerciaux déjà approuvés, l'intégration et l'approbation peuvent prendre 3 à 6 mois. Pour les systèmes NATO Restreint ou NATO Confidentiel, le dossier d'accréditation — incluant le Plan de sécurité système, l'évaluation des risques et les preuves de la base technique INFOSEC — nécessite généralement 9 à 18 mois pour une première soumission, avec des cycles d'itération si des constatations sont soulevées. Les systèmes NATO Secret nécessitant une accréditation d'infrastructure dédiée peuvent prendre 2 à 4 ans pour une nouvelle installation ou plateforme. Les fournisseurs doivent engager l'Autorité d'accréditation de sécurité OTAN (SAA) tôt dans le cycle de vie du programme, et non à la fin du développement.

Qu'est-ce qu'une solution interdomaines et quand est-elle requise ?

Une solution interdomaines (CDS) est une combinaison de matériel et de logiciels qui applique la politique de sécurité de l'information lors du transfert de données entre des réseaux de différents niveaux de classification. Une CDS est requise chaque fois que des données doivent circuler d'un réseau de classification supérieure (par exemple, NATO Secret) vers un réseau de classification inférieure (par exemple, NATO Non classifié), ou dans le sens inverse avec une sanitisation et une déclassification appropriées. Les composants CDS comprennent des dispositifs garde (appareils de filtrage bidirectionnels), des diodes de données (flux unidirectionnels imposés par le matériel pour le transfert en masse) et des ruptures de protocole (empêchant les sessions TCP directes de traverser la frontière). Tous les composants CDS utilisés dans les environnements OTAN doivent figurer sur la liste de produits approuvés par la NCIA ou avoir reçu une approbation d'autorité nationale acceptée par l'OTAN.

Quelles sont les exigences de séparation physique entre les niveaux cloud OTAN ?

Les exigences de séparation physique s'intensifient avec le niveau de classification. L'infrastructure NATO Non classifié peut partager du matériel avec des systèmes non-OTAN en utilisant la séparation logique (VLANs, VPCs, isolation des locataires). NATO Restreint nécessite généralement une séparation logique des charges de travail commerciales, mais peut partager une infrastructure physique au sein d'une installation contrôlée. NATO Confidentiel et NATO Secret nécessitent des serveurs, du stockage et des réseaux physiquement séparés au sein d'une installation accréditée par l'OTAN — le partage d'infrastructure physique avec des charges de travail de classification inférieure ou commerciales n'est pas autorisé. NATO Très Secret (CTS) et au-delà nécessitent une sécurité physique équivalente à un SCIF avec un accès du personnel strictement contrôlé, un blindage électromagnétique, et dans la plupart des cas un isolement total de tout réseau externe, y compris les autres réseaux classifiés.