SecNumCloud : le point sur les exigences et les mesures de sécurité de cette qualification

Résumé

Le label SecNumCloud est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) aux prestataires de service cloud, qui garantit un niveau optimal de qualité, de sécurité et de confiance pour leurs services.

Différents aspects de la gestion du risque sur les données sont évalués au cours du processus d’obtention : gouvernance de la sécurité, gestion des identités et des accès, protection des données, sécurité opérationnelle, continuité d’activité et résilience, sécurité physique, confiance et transparence.

Élaborée en 2016, la qualification SecNumCloud a été récemment réactualisée en décembre 2023, via la publication du référentiel 3.2.

SecNumCloud pour rappel est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) attribuée aux prestataires de service cloud, qui atteste du niveau optimum de qualité, de sécurité et de confiance de leurs services. 

C’est un label de confiance garantissant les plus hauts standards de sécurité : qualité et robustesse de la prestation, compétence du prestataire et confiance pouvant lui être accordée.  

Pour pouvoir prétendre à ce label, les exigences à remplir sont nombreuses et exigeantes, et le chemin est long. 

Génèse de l’ANSSI et de la qualification SecNumCloud 

Créée par Décret d’État en 2009, la mission initiale de l’Agence nationale de la sécurité des systèmes d’information consiste à la sécurité des systèmes d’informations de l’État. A celle-ci s’ajoute une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, ainsi que celle de contribuer à la sécurité de la société de l’information, notamment en participant à la recherche et au développement des technologies de sécurité et à leur promotion. 

Élaborée en 2016 pour la première fois la qualification SecNumCloud vient récemment d’être réactualisée (décembre 2023) via la publication du référentiel 3.2.  

Voici les principaux axes concernés et les attendus à mettre en place : 

Gouvernance de la sécurité 

Supervision continue des activités et gestion des risques 

Mise en place d’une politique de sécurité rigoureuse 

Certification et conformité avec les standards internationaux 

Respect des normes et des réglementations en vigueur 

Gestion des identités et des accès

Gestion sécurisée des identités numériques 

Mécanismes d’authentification forte et de gestion des autorisations 

Contrôles d’accès basés sur le principe du moindre privilège 

Traçabilité et auditabilité des actions des utilisateurs 

Protection des données 

Politiques de sauvegarde et de restauration robustes 

Chiffrement des données en transit et au repos 

Mesures contre les fuites de données 

Contrôles d’intégrité et de confidentialité des données 

Sécurité opérationnelle 

Maintien en conditions opérationnelles de la sécurité 

Surveillance proactive des systèmes et détection des incidents 

Tests réguliers de résilience et d’audit de sécurité 

Procédures de réponse aux incidents et de gestion des crises 

Continuité d’activité et résilience 

Résistance aux attaques par déni de service (DDoS) 

Plans de reprise d’activité après un incident (Disaster Recovery Plan) 

Systèmes redondants pour garantir une haute disponibilité 

Sécurité physique 

Mesures de protection contre les sinistres naturels ou humains 

Contrôles d’accès physiques aux data centers 

Surveillance 24/7 des installations 

Confiance et transparence 

Engagement dans des audits réguliers par des tiers indépendants 

Processus de notification transparents en cas de faille de sécurité 

Transparence vis-à-vis des clients sur l’application des politiques de sécurité 

En conclusion, les axes de sécurité de SecNumCloud garantissent la fourniture d’un environnement cloud sécurisé aussi bien sur le plan technique, organisationnel que physique.  

SecNumCloud a donc pour objectif de garantir un haut niveau de protection des services cloud contre une large gamme de menaces et ainsi à garantir la confiance des utilisateurs dans ces services ainsi que pour les personnes dont les données sont hébergées sur ces services cloud. 

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

En quoi le recours au cloud souverain et de confiance est-il un accélérateur en matière de cybersécurité ?

Résumé La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises...

4 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités