SecNumCloud est une qualification délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) aux prestataires de service cloud au terme d’un long processus fait de jalons exigeants. S’alignant au niveau européen notamment sur les propositions françaises pour établir un degré élevé d’exigences, la qualification s’appuie notamment sur les travaux autour de l’EUCS et constitue l’un des labels les plus exigeants en termes de sécurité sur l’ensemble du continent pour les acteurs sensibles. L’actualisation 3.2 de ce référentiel vise à renforcer la protection des données gérées par le prestataire vis-à-vis des lois extra européennes, en mettant notamment en œuvre des tests d’intrusion tout au long du cycle de vie de la qualification.
SecNumCloud est une qualification délivrée par l’ANSSI attribuée aux prestataires de service cloud. Tous les services de Cloud peuvent prétendre à la qualification SecNumCloud. En effet, celle-ci est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service).
La version 3.2 couvre actuellement plus de 360 points d’exigences, organisées autour de 14 thématiques de sécurité. Nous avons gardé pour vous les principaux points à retenir.
Renforcement de la protection par rapport aux lois extra européennes
Des exigences renforcées pour apporter des garanties sur le fait que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non-européennes. SecNumCloud 3.2 précise également l’exigence relative à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification.
Alignement avec les propositions françaises sur le niveau élevé du schéma de certification européen pour les fournisseurs de services cloud
Une harmonisation des mécanismes d’évaluation au niveau européen est en cours et ce depuis 2019 via notamment les travaux autour de l’EUCS (schéma de certification européen relatif aux prestataires de cloud). SecNumCloud 3.2 s’inscrit en pleine cohérence avec les travaux européens et sert de référence dans les travaux sur le niveau « élevé » de cette future certification.
À terme, il est d’ailleurs possible que la certification EUCS remplace définitivement les labels SecNumCloud/Cloud de confiance et les autres labels européens comme C5 en Allemagne ou encore ENS en Espagne.
Le label SecNumCloud est aujourd’hui l’un des plus exigeants en Europe, bien plus que ceux de nos homologues européens.
Clarification de la notion de « composition de services »
Cet aspect simplifie le processus de qualification des prestataires s’appuyant sur des briques ou services déjà qualifiés. Dans le cas d’un PaaS proposant une solution IaaS déjà qualifiée, il conviendra de se concentrer uniquement sur la partie PaaS et ses interactions avec le IaaS sans nécessité de qualifier la totalité de la chaîne de traitement de données jusqu’aux infrastructures.
Quel est le process à suivre pour être qualifié SecNumCloud ?
Le processus de qualification SecNumCloud suit le processus de qualification d’un service de l’ANSSI et contient différents jalons, dont un jalon préalable appelé « J0 » sur la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0. Le site de l’ANSSI publie sur son site la liste des entreprises ayant déposé leur J0 ainsi que la liste des entreprises qualifiées. Il est à noter que la qualification SecNumCloud n’est pas définitive et qu’elle est attribuée pour une période donnée. Pour la conserver il est nécessaire de repasser par des phases d’audit.
SecNumCloud est donc un véritable label de confiance présentant un niveau d’exigence très élevé pour garantir la meilleure protection des données les plus sensibles aux acteurs ayant à en traiter et en gérer dans leur activité courante.
Pour aller plus loin, NumSpot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
