SecNumCloud, c’est quoi ?
La qualification SecNumCloud est une initiative de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Son objectif : identifier et promouvoir une offre de services de fournisseurs cloud de confiance pour les entités publiques, ou les services critiques pour les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE), en mettant l’accent sur la sécurité et la confiance. En mettant en place ce label (le plus haut niveau de sécurité pour les données sensibles et stratégiques), l’ANSSI distingue clairement les opérateurs cloud respectant les meilleures pratiques en termes de sécurité.
SecNumCloud : définition
SecNumCloud est une qualification de services cloud développée par l'ANSSI spécifiquement pour les fournisseurs de services cloud offrant des solutions PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou SaaS (Software as a Service). En mettant en place ce label, l’ANSSI veut éviter la fragmentation du marché et la domination par quelques acteurs américains (Google Cloud, Amazon AWS, Microsoft Azure, Dropbox, Salesforce …) soumis aux lois américaines du Patriot Act (2001) et du Cloud Act (2018) permettant aux autorités judiciaires américaines d’accéder aux données stockées à l’étranger.
En obtenant la qualification SecNumCloud, les prestataires démontrent leur conformité aux bonnes pratiques établies dans le référentiel et prouvent que leur système a été évalué par des auditeurs qualifiés PASSI par l’ANSSI. En outre, cette qualification permet aux organisations clientes d’identifier les fournisseurs offrant un niveau de sécurité optimal et conforme aux référentiels établis par l’ANSSI.
La qualification SecNumCloud a été élaborée en 2016 et a été révisée en mars 2022, aboutissant à la version 3.2 actuellement en vigueur. Cette qualification découle du label Secure Cloud introduit par l'ANSSI en 2014. Bien qu'il s'appuie en grande partie sur la norme ISO 27001, qui établit les exigences et les bonnes pratiques pour la gestion de la sécurité de l'information, SecNumCloud va au-delà en intégrant des exigences supplémentaires spécifiquement adaptées aux fournisseurs de services cloud.
Qui est concerné par le label SecNumCloud ?
La qualification SecNumCloud concerne les fournisseurs de services cloud désireux de démontrer leur conformité aux bonnes pratiques de sécurité.
Tous les prestataires offrant des services cloud sont éligibles à la qualification SecNumCloud : SaaS (Sofware as a Service), PaaS (Platform as a Service), IaaS (Infratructure as a Service), CaaS (Container as a Service).
Cette qualification revêt un intérêt particulier pour les entreprises clientes en quête de services cloud de confiance pour assurer la sécurité de leurs données. Bien entendu, l'obtention de cette qualification signifie que le service est recommandé par l'État français, ce qui ouvre la porte à son adoption par certaines entités gouvernementales.
SecNumCloud : défis et enjeux pour les prestataires cloud
Les entreprises ayant obtenu la qualification SecNumCloud sont quasi unanimes : le processus d’obtention du label est loin d’être facile. En effet, celui-ci exige non seulement de respecter les bonnes pratiques de sécurité, mais aussi de fournir une documentation détaillée des processus et de mettre en place une segmentation adéquate du réseau. Par ailleurs, les critères du référentiel sont vastes et couvrent divers aspects, allant de la sécurité physique des installations aux employés autorisés à travailler sur l'offre qualifiée. Sur un autre registre, étant donné que le référentiel est partiellement basé sur la norme ISO 27001, obtenir une certification de conformité ISO 27001 constitue une première étape pertinente avant de poursuivre vers une qualification SecNumCloud.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !