Résumé
SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de services cloud offrant des services en PaaS, IaaS, CaaS ou SaaS.
Elle s’adresse aux entités publiques ou privées qui doivent pour des raisons règlementaires ou de conformité avoir recours à un cloud très sécurisé et à l’abri des lois extraterritoriales publiques, mais aussi aux opérateurs d’importance vitale, et aux opérateurs de services essentiels.
Elle garantit le respect des bonnes pratiques en matière de sécurité et offre une solution fiable, à la souveraineté renforcée et sécurisée pour les données stratégiques et sensibles dans le cloud.
La migration des entreprises vers le cloud s’accentue en même temps que le volume des cyberattaques augmente. Dans ce contexte, la sécurité des prestataires de services cloud est devenue un enjeu majeur. Pour répondre à ces préoccupations, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a élaboré le référentiel SecNumCloud, spécialement conçu pour ces problématiques.
Cette qualification garantit que les prestataires de services cloud respectent les bonnes pratiques en matière de sécurité, offrant ainsi une solution fiable et sécurisée pour vos données particulièrement stratégiques et sensibles.
Qu’est-ce que SecNumCloud
et qui peut y prétendre ?
SecNumCloud est une qualification de sécurité proposée par l’ANSSI depuis 2016, pour les opérateurs cloud proposant des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service), CaaS (Containers as a Service) ou SaaS (Software as a Service). L’objectif d’une telle certification est de proposer une approche uniformisée des exigences de sécurité et de souveraineté garanties par les prestataires. Ainsi, un prestataire qualifié SecNumCloud offre un service respectant les bonnes pratiques listées dans le référentiel et la conformité de son système a été vérifiée et agréé par l’ANSSI.
Cette qualification a évidemment un intérêt pour les entreprises cherchant un service cloud qui privilégie la sécurité et la souveraineté pour protéger leurs données. La qualification SecNumCloud correspond à une recommandation par l’État français, ce qui permet notamment au prestataire d’être retenu par certains services de l’État.
A qui s’adresse
les produits certifiés
SecNumCloud ?
Les produits estampillés SecNumCloud sont conçus pour les organisations, publiques comme privées, qui ont à cœur de faire appel à un service de qualité, souverain, et sécurisé et qui veulent qu’en cas de changement de prestataire leurs données soient facilement accessibles et transférables vers un autre service.
Les entités publiques
Les acteurs publics ont pour obligation de faire appel à des prestataires référencés par l’État et ses services annexes. C’est en ce sens que l’ANSSI a développé la qualification SecNumCloud, offrant ainsi aux organisations et services publics des solutions d’hébergement et de stockage de données dans le Cloud qualifiées par l’État lui-même.
Les opérateurs d’importance vitale (OIV)
Les OIV sont des organisations identifiées et définies par l’État français comme ayant des activités participant de façon vitale et indispensable au fonctionnement de l’économie. Elles sont réparties à travers quatre groupes d’activité : humaine, régalienne, économique et technologique. En raison de leur importance capitale, ces opérateurs font partie du plan de sécurité d’opérateur d’importance vitale (PSO) qui leur impose une politique stricte en termes de sécurité. La cybersécurité est un des fondements de ce plan et oblige les OIV, par le biais de l’ANSSI, à faire appel à des prestataires qualifiés pour le stockage de leurs données. Les OIV sont donc des destinataires directs de la qualification SecNumCloud. Le recours à SecNumCloud ne remplace cependant pas l’homologation des SIIV par l’OIV concerné.
Secteur d’activité des OIV : Santé, transport, gestion de l’eau, industrie, énergie, finances, communications, activité militaire, activité civile de l’État, activité judiciaire, alimentation, espace et recherche.
Les opérateurs de services essentiels (OSE)
Les OSE sont, quant à eux, définis par l’ANSSI comme étant tributaires des réseaux ou systèmes d’information ayant un impact essentiel sur le fonctionnement de l’économie. Ils sont soumis aux mêmes obligations que les OIV et doivent faire appel à des prestataires de confiance pour l’hébergement de leurs données dans le cloud. Les OSE, sont donc également des bénéficiaires du label SecNumCloud.
Les autres acteurs privés
Les entreprises privées sont elles aussi confrontées aux nombreuses menaces cyber, notamment en ce qui concerne la gestion des données sensibles. Ces entreprises – et de ce fait les utilisateurs finaux de solutions cloud – sont donc de plus en plus soucieuses du traitement des données et tendent à se tourner vers des prestataires qui justifient du niveau le plus élevé en matière de cybersécurité.
Pour quels bénéfices ?
Un fournisseur cloud qualifié SecNumCloud offre un produit premium, face à une multitude d’offres bon marché, mais non-souveraines et peu sécurisées. Forcément, ce très haut niveau de sécurité a un coût. La plupart des prestataires Cloud qualifiés par l’ANSSI proposent des offres spécifiques qualifiées SecNumCloud qui sont plus chères que leurs offres initiales, un surcoût notamment dû à la mise en conformité des infrastructures et des processus internes pour respecter le cahier des charges strict SecNumCloud. En effet, l’ANSSI impose des exigences importantes sur l’intégralité de leur chaîne de production : gestion du risque, des actifs, des incidents, sécurité des ressources humaines, cryptologie, sécurité physique et environnementale, conformité, etc.
Choisissez une solution SecNumCloud
Le label SecNumCloud permet d’assurer aux organisations un niveau élevé de sécurité dans la protection de leurs données, ce qui constitue un gage de sécurité majeur en permettant de prévenir les crises cyber de tous types. Au terme d’un processus long et exigeant, les prestataires certifiés SecNumCloud démontrent leur capacité à assurer les meilleures pratiques pour répondre aux risques et vous offrir le service le plus sécurisé.
Dans les mois à venir, cette certification deviendra sans nul doute la norme pour les acteurs du cloud français et dans un avenir proche, visera peut-être à inspirer une normalisation à l’échelle du territoire européen. Pour renforcer la souveraineté du cloud et arrêter de dépendre des GAFAM, il est préférable de se tourner vers des services qualifiés et ayant une réelle expertise au niveau de la sécurité des données, c’est essentiel pour s’assurer que vos données et celles des citoyens soient entre de bonnes mains.