Introduction
Le référentiel SecNumCloud (aussi dit SecNum), créé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2016, permet la qualification de fournisseurs de services cloud, avec pour objectif d’améliorer l’offre “de confiance” pour toute entreprise ou service public qui souhaite externaliser une partie de son SI.
D’une part, les prestataires proposant une offre d’informatique en nuage (cloud) doivent présenter une bonne hygiène informatique, d’autre part, les données doivent être protégées en conformité avec le droit européen.
Les exigences du référentiel garantissent la protection du service cloud vis-à-vis du droit extra-européen, grâce à la combinaison de trois types de mesures :
- Techniques : étanchéité des systèmes d’information ;
- Opérationnelles : seul le prestataire peut intervenir sur les ressources supportant le service ;
- Juridiques : application exclusive du droit européen.
L’objectif est de proposer une « approche centralisée » plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire.
Préoccupé par la sécurité de votre PME ?
Adoptez les meilleures stratégies dès maintenant.
Parlez à nos spécialistes en cybersécuritéOrigine et Objectifs
D’où vient SecNumCloud ?
SecNumCloud a été présenté sous sa première version officielle en 2016, et a connu une révision en 2018 pour aboutir à sa version 3.1 actuellement utilisée. Cette qualification est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information, mais ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud.
Qui est concerné ?
Les sociétés pouvant prétendre à la qualification sont des fournisseurs de service cloud qui souhaitent pouvoir prouver leur respect des bonnes pratiques en matière de sécurité.
Le processus de qualification porte sur l’offre spécifique d’une société candidate, que celle-ci soit en IaaS, PaaS, ou SaaS. Mais cette qualification a évidemment un intérêt pour les entreprises clientes qui cherchent à savoir quel service cloud privilégier pour la sécurité de leurs données. Une qualification correspond à une recommandation d’utilisation de ce service par l’État français, ce qui permet notamment d’être retenu pour une utilisation par certains services de l’État.
SecNumCloud, pourquoi ?
Côté consommateurs
Le référentiel SecNumCloud pose des exigences fortes sur la sécurité des services proposés par les fournisseurs. Quelques cas d’usage de la certification SecNumCloud ci-dessous :
- Hébergement de données sensibles : les entreprises et les administrations peuvent utiliser la certification SecNumCloud pour choisir un fournisseur de services cloud afin de stocker et traiter des données sensibles ou critiques : de santé, financières ou personnelles, défense, etc.
- Sécurité des échanges de données : la certification permet de garantir la sécurité des échanges de données entre les différentes parties impliquées dans un projet.
- Gestion des risques de sécurité : la certification SecNumCloud permet aux entreprises et aux administrations de réduire les risques de sécurité liés à l’utilisation de services cloud, en s’assurant que les fournisseurs de services cloud respectent les exigences de sécurité les plus strictes.
Côté fournisseurs
- Faire la démarche de vous certifier (et de la réussir) vous assurera :
- Que les entités publiques françaises pourront faire partie de vos clients ;
- D’être listé parmi les prestataires officiellement certifiés par l’ANSSI ;
- D’être conforme à un référentiel sécurité exigeant qui renforce votre image de marque auprès de vos clients et prospects ;
- De vous ouvrir des opportunités dans des marchés exigeants, tels que la défense ou certaines industries.
La Qualification SecNumCloud
Pourquoi être qualifié SecNumCloud ?
Les solutions ayant passé avec succès la qualification obtiennent le Visa de sécurité ANSSI.
Il permet d’être facilement identifié comme une solution robuste, fiable et de confiance.
L’obtention du Visa permet également aux fournisseurs de services cloud d’assurer à leurs utilisateurs une protection de leurs données face aux lois et règlements non-européens.
Ce Visa permet enfin de répondre aux exigences de la doctrine « cloud au centre » de l’État imposant aux administrations le recours à des solutions SecNumCloud pour l’hébergement de données qualifiées de sensibles.
Comment être qualifié SecNumCloud ?
Le passage obligé avant de se lancer dans la qualification est de contacter l’ANSSI via l’adresse industries@ssi.gouv.fr
La qualification se déroule en quatre étapes :
- Demande de qualification via un dépôt de dossier
- Élaboration de la stratégie d’évaluation
- Travaux d’évaluation
- Décision de qualification
Le fournisseur doit suivre plusieurs points :
- Être certifié ISO27001. Ce n’est pas obligatoire, mais fortement conseillé si l’on considère que le référentiel SecNumCloud est fondamentalement basé sur l’annexe A de la norme ISO 27001 ;
- Implémenter un Système de Management de la Continuité d’Activité (SMCA) pour piloter son PCA (Plan de Continuité d’Activité) ;
- Implémenter un SIEM (Security Information and Event Management) “efficace” ;
- Respecter l’ensemble des réglementations sur la protection des données (RGPD, DSP2, etc.).
Pour qu’un service d’un fournisseur cloud puisse être certifié, le fournisseur doit :
- Être éligible : la certification SecNumCloud n’est disponible que pour les fournisseurs de services cloud ayant leur siège social en France, en Europe ou dans un pays disposant d’un accord de reconnaissance mutuelle avec la France ;
- Comprendre les exigences et s’y conformer ;
- Effectuer une autoévaluation : avant de demander la certification, le fournisseur de services cloud doit effectuer une autoévaluation satisfaisante ;
- Engager un auditeur accrédité : il se doit d’effectuer une vérification des contrôles de sécurité du fournisseur de services cloud pour garantir la conformité aux exigences de certification SecNumCloud;
- Soumettre une demande : le fournisseur de services cloud doit soumettre une demande de certification à l’ANSSI. La demande doit inclure le rapport d’audit, l’autoévaluation et d’autres documents requis ;
- Passer l’évaluation de l’ANSSI : l’ANSSI examinera la demande et la documentation à l’appui et procédera à son évaluation des contrôles de sécurité du fournisseur de services cloud.
Une fois que le fournisseur de services satisfait à toutes ces exigences, il obtient la certification SecNumCloud pour son service.
Ce processus de certification peut prendre plusieurs mois à compléter et va nécessiter des efforts et des investissements.
La certification SecNumCloud est valable trois ans, mais l’entreprise doit être auditée annuellement pour garantir la conformité continue aux exigences de certification.
SecNumCloud et le futur
Le passage de la certification SecNumCloud est un défi pour les fournisseurs de services cloud, en raison des exigences de sécurité complexes et profuses imposées par le référentiel. Sa réussite nécessite des investissements considérables en matière de temps, d’argent et de ressources.
Depuis 2019, La France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS). Dans ce cadre, SecNumCloud sert de référence sur le niveau « élevé » de cette future certification qui se substituera, à terme, à la qualification SecNumCloud française.
Elle permettra aux Responsables de la sécurité des systèmes d’information, Responsables opérationnels, Auditeurs de SMSI, Responsables d’organisation ou tout autre personne concernée par cyber-sécurité dans votre entreprise, d’acquérir des connaissances et de monter en compétences sur les référentiels SecNumCloud.
