Le label SecNumCloud est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) aux prestataires de service cloud, qui garantit un niveau optimal de qualité, de sécurité et de confiance pour leurs services. Différents aspects de la gestion du risque sur les données sont évalués au cours du processus d’obtention : gouvernance de la sécurité, gestion des identités et des accès, protection des données, sécurité opérationnelle, continuité d’activité et résilience, sécurité physique, confiance et transparence.
Élaborée en 2016, la qualification a été récemment réactualisée en décembre 2023, via la publication du référentiel 3.2.
SecNumCloud pour rappel est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) attribuée aux prestataires de service cloud, qui atteste du niveau optimum de qualité, de sécurité et de confiance de leurs services.
C’est un label de confiance garantissant les plus hauts standards de sécurité : qualité et robustesse de la prestation, compétence du prestataire et confiance pouvant lui être accordée.
Pour pouvoir prétendre à ce label, les exigences à remplir sont nombreuses et exigeantes, et le chemin est long.
Génèse de l’ANSSI et de la qualification SecNumCloud
Créée par Décret d’État en 2009, la mission initiale de l’Agence nationale de la sécurité des systèmes d’information consiste à la sécurité des systèmes d’informations de l’État. A celle-ci s’ajoute une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, ainsi que celle de contribuer à la sécurité de la société de l’information, notamment en participant à la recherche et au développement des technologies de sécurité et à leur promotion.
Élaborée en 2016 pour la première fois la qualification SecNumCloud vient récemment d’être réactualisée (décembre 2023) via la publication du référentiel 3.2.
Voici les principaux axes concernés et les attendus à mettre en place :
Gouvernance de la sécurité
- Supervision continue des activités et gestion des risques
- Certification et conformité avec les standards internationaux
- Mise en place d’une politique de sécurité rigoureuse
- Respect des normes et des réglementations en vigueur
Gestion des identités et des accès
- Gestion sécurisée des identités numériques
- Contrôles d’accès basés sur le principe du moindre privilège
- Mécanismes d’authentification forte et de gestion des autorisations
Traçabilité et auditabilité des actions des utilisateurs
Protection des données
- Politiques de sauvegarde et de restauration robustes
- Chiffrement des données en transit et au repos
- Mesures contre les fuites de données
- Contrôles d’intégrité et de confidentialité des données
Sécurité opérationnelle
- Maintien en conditions opérationnelles de la sécurité
- Surveillance proactive des systèmes et détection des incidents
- Tests réguliers de résilience et d’audit de sécurité
- Procédures de réponse aux incidents et de gestion des crises
Continuité d’activité et résilience
- Résistance aux attaques par déni de service (DDoS)
- Systèmes redondants pour garantir une haute disponibilité
- Plans de reprise d’activité après un incident (Disaster Recovery Plan)
Sécurité physique
- Mesures de protection contre les sinistres naturels ou humains
- Contrôles d’accès physiques aux data centers
- Surveillance 24/7 des installations
Confiance et transparence
- Engagement dans des audits réguliers par des tiers indépendants
- Processus de notification transparents en cas de faille de sécurité
- Transparence vis-à-vis des clients sur l’application des politiques de sécurité
En conclusion, les axes de sécurité de SecNumCloud garantissent la fourniture d’un environnement cloud sécurisé aussi bien sur le plan technique, organisationnel que physique.
SecNumCloud a donc pour objectif de garantir un haut niveau de protection des services cloud contre une large gamme de menaces et ainsi à garantir la confiance des utilisateurs dans ces services ainsi que pour les personnes dont les données sont hébergées sur ces services cloud.
Pour aller plus loin, NumSpot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
