Résumé
Le label SecNumCloud est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) aux prestataires de service cloud, qui garantit un niveau optimal de qualité, de sécurité et de confiance pour leurs services.
Différents aspects de la gestion du risque sur les données sont évalués au cours du processus d’obtention : gouvernance de la sécurité, gestion des identités et des accès, protection des données, sécurité opérationnelle, continuité d’activité et résilience, sécurité physique, confiance et transparence.
Élaborée en 2016, la qualification SecNumCloud a été récemment réactualisée en décembre 2023, via la publication du référentiel 3.2.
SecNumCloud pour rappel est une qualification délivrée par l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Informations) attribuée aux prestataires de service cloud, qui atteste du niveau optimum de qualité, de sécurité et de confiance de leurs services.
C’est un label de confiance garantissant les plus hauts standards de sécurité : qualité et robustesse de la prestation, compétence du prestataire et confiance pouvant lui être accordée.
Pour pouvoir prétendre à ce label, les exigences à remplir sont nombreuses et exigeantes, et le chemin est long.
Génèse de l’ANSSI et de la qualification SecNumCloud
Créée par Décret d’État en 2009, la mission initiale de l’Agence nationale de la sécurité des systèmes d’information consiste à la sécurité des systèmes d’informations de l’État. A celle-ci s’ajoute une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, ainsi que celle de contribuer à la sécurité de la société de l’information, notamment en participant à la recherche et au développement des technologies de sécurité et à leur promotion.
Élaborée en 2016 pour la première fois la qualification SecNumCloud vient récemment d’être réactualisée (décembre 2023) via la publication du référentiel 3.2.
Voici les principaux axes concernés et les attendus à mettre en place :
Gouvernance de la sécurité
Supervision continue des activités et gestion des risques
Mise en place d’une politique de sécurité rigoureuse
Certification et conformité avec les standards internationaux
Respect des normes et des réglementations en vigueur
Gestion des identités et des accès
Gestion sécurisée des identités numériques
Mécanismes d’authentification forte et de gestion des autorisations
Contrôles d’accès basés sur le principe du moindre privilège
Traçabilité et auditabilité des actions des utilisateurs
Protection des données
Politiques de sauvegarde et de restauration robustes
Chiffrement des données en transit et au repos
Mesures contre les fuites de données
Contrôles d’intégrité et de confidentialité des données
Sécurité opérationnelle
Maintien en conditions opérationnelles de la sécurité
Surveillance proactive des systèmes et détection des incidents
Tests réguliers de résilience et d’audit de sécurité
Procédures de réponse aux incidents et de gestion des crises
Continuité d’activité et résilience
Résistance aux attaques par déni de service (DDoS)
Plans de reprise d’activité après un incident (Disaster Recovery Plan)
Systèmes redondants pour garantir une haute disponibilité
Sécurité physique
Mesures de protection contre les sinistres naturels ou humains
Contrôles d’accès physiques aux data centers
Surveillance 24/7 des installations
Confiance et transparence
Engagement dans des audits réguliers par des tiers indépendants
Processus de notification transparents en cas de faille de sécurité
Transparence vis-à-vis des clients sur l’application des politiques de sécurité
En conclusion, les axes de sécurité de SecNumCloud garantissent la fourniture d’un environnement cloud sécurisé aussi bien sur le plan technique, organisationnel que physique.
SecNumCloud a donc pour objectif de garantir un haut niveau de protection des services cloud contre une large gamme de menaces et ainsi à garantir la confiance des utilisateurs dans ces services ainsi que pour les personnes dont les données sont hébergées sur ces services cloud.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.
