L’accompagnement à la qualification SecNumCloud de l’ANSSI
La qualification SecNumCloud a pour objectif de valoriser et de promouvoir les prestataires de confiance proposant des services cloud à destination des entités publiques et privés.
Elle s’inscrit dans la stratégie française pour un cloud de confiance.
Le référentiel SecNumCloud associé vise un niveau de sécurité élevé, pour créer la confiance avant tout sur le service Cloud.
- Garantir à vos clients un niveau de sécurité élevé, et le respect des bonnes pratiques de sécurité, tant sur le plan technique qu’organisationnel ;
- garantir que les données seront hébergées sur des serveurs localisés sur le territoire Européen, permettant de se protéger contre le Cloud Act américain ;
- garantir au niveau européen la conformité au niveau le plus élevé du Cybersecurity Act, adopté par l’Union Européenne en 2019 ;
- accéder aux appels d’offres d’acteurs stratégiques qui exigent la qualification SecNumCloud ;
- vous différencier des autres fournisseurs de services cloud non qualifiés et valoriser votre offre.
AlgoSecure propose d’accompagner les entreprises vers la qualification SecNumCloud.
Les avantages de l’accompagnement AlgoSecure à la qualification SecNumCloud
Un accompagnement complet et une méthodologie éprouvée
Une expertise organisationnelle et technique
Une maîtrise du référentiel SecNumCloud
Le référentiel SecNumCloud
L’ANSSI a publié un référentiel des exigences pour la qualification SecNumCloud .Ce référentiel est structuré avec les mêmes chapitres que la norme ISO 27002 :2013 repris dans l’annexe A de la norme ISO 27001 :2013.
Des prérequis sont exigés, ils concernent principalement la localisation des données :
- Les données du service hébergé et les données techniques doivent être hébergées et traitées au sein de l’Union Européenne ;
- les opérations d’administration, de supervision et de support doivent être réalisées depuis l’Union Européenne, et avec une infrastructure dédiée ;
- le siège statutaire de l’offreur du service Cloud doit être établi en Union Européenne, et des exigences sur le capital social de la société sont également mentionnées.
Le référentiel SecNumCloud comprend des recommandations et des bonnes pratiques pour la gestion de la sécurité, la gestion des identités et des accès… Il inclut également des recommandations pour l'utilisation de services cloud, en fonction des niveaux de classification des données traitées.
Il se décline en plusieurs niveaux de sécurité, allant du niveau de base pour les données publiques au niveau très élevé pour les données sensibles et les systèmes de défense. Les recommandations pour chaque niveau de sécurité sont adaptées aux spécificités des services cloud.
Dès l’instant où une grande partie des mesures spécifiées dans le référentiel des exigences SecNumCloud sont respectées, une demande de qualification auprès de l’ANSSI peut être entamée.
Les étapes de la démarche de qualification
- Étape 1 : dépôt du dossier pour savoir si le service peut prétendre à la qualification.
- Étape 2 : mise en conformité avec le référentiel SecNumCloud
- Étape 3 : choix de l’organisme « qualificateur » qualifié par l’ANSSI et passage de l’audit (audit documentaire et sur site).
- Étape 4 : rapport de l’auditeur transmis à l’ANSSI pour vérification.
- Étape 5 : l’ANSSI donne son accord de qualification pour une durée de 3 ans.
Être accompagné pour obtenir la qualification SecNumCloud
AlgoSecure vous propose de vous accompagner en vue de la qualification SecNumCloud, sur les prestations suivantes :
- Réalisation d’un audit de maturité au référentiel SecNumCloud : cet état des lieux de conformité SecNumCloud permet l’évaluation des écarts de votre niveau de sécurité par rapport au référentiel et l’établissement d’un plan projet jusqu’à la qualification ;
- Expertise en sécurité pour la remédiation au référentiel : mise en place de mesures de sécurité permettant de vous mettre en conformité vis-à-vis des exigences du référentiel ;
- Audits techniques et organisationnels exigés par le référentiel, en tant que prestataire qualifié PASSI.
Exemple d’accompagnement par Algosecure
AlgoSecure a accompagné un client souhaitant faire qualifier SecNumCloud un de ses services SaaS. Pour cela, un audit de conformité au référentiel SecNumCloud et une feuille de route pour qualifier son service SecNumCloud ont été établi, à l’image des audits de conformité que nous réalisons pour la certification ISO 27001.
État des lieux de conformité au référentiel SecNumCloud :
Plan projet de qualification SecNumCloud :
La qualification est valable pour une durée de 3 ans mais, avec un suivi au moyen d’audits annuels de surveillance. Au terme des 3 ans, le prestataire peut demander le renouvellement de la qualification.
Vous êtes intéressés par la qualification SecNumCloud et vous souhaitez vous faire accompagner dans la mise en place du référentiel SecNumCloud ? Échangeons ensemble.
FAQ :
Nous observons un délai moyen de 12 à 18 mois pour se mettre en conformité au référentiel et obtenir la qualification. Cette estimation tient compte du temps dédié au projet de qualification, des ressources humaines allouées. Le délai variera aussi en fonction de votre niveau de maturité actuel en cybersécurité. Par exemple, avoir un service cloud déjà qualifié à la norme ISO 27001 constituera une bonne avancée pour entamer la démarche de qualification SecNumCloud.
Dans le cadre du plan France 2030, des aides sont proposées en priorité à des PME souhaitant commercialiser sous les 2 ans à venir une offre qualifiée SecNumCloud PaaS ou SaaS.
Ces aides se présentent sous la forme de quatre modules :
| Module | Description du module | Montant de l’aide |
| Module 1 : Audit initial | Evaluation des écarts à la qualification SecNumCloud, et mesure du niveau cyber | 40 K€ |
| Module 2 : Formule Transformation | Mise en place d’actions concrètes en s’appuyant sur le guide d’hygiène de l’ANSSI, et permettant de préparer la démarche de qualification | 60 K€ |
| Module 3 : Formule conformité | Pour des acteurs matures ou en sortie de la formule « transformation », pour accompagner la mise en conformité vis-à-vis des exigences du référentiel | 40 K€ |
| Module 4 : Aide à la Qualification | Démarche de qualification, respect et application des règles de référentiel | 40 K€ |
Un dossier de candidature doit être soumis à l’ANSSI, présentant le projet de qualification de l’offre. L'obtention de ces aides nécessite le dépôt d'un dossier via un guichet unique accessible sur le site de Bpifrance avant le 19 juillet 2023.
Cette date correspond à une deuxième relève et un budget de 3,5 M€ est alloué pour cette relève. Pour la première relève effectuée en février 2023, 21 projets ont été retenus pour une quarantaine de candidatures.
Autres pages qui pourraient vous intéresser :
Audit et test d'intrusion
Nous auditons vos systèmes informatiques afin d'y déceler des failles de sécurité : il s'agit de nos prestations de tests d'intrusion (pentests).
Analyse de risques
Nous vous aidons à évaluer les risques auxquels sont soumis vos systèmes, et établir un plan afin de traiter ces risques.
Audit organisationnel de sécurité informatique
Nous réalisons des audits organisationnels pour s'assurer que les mesures de sécurité soient bien mis en place.
Contact : 04 26 78 24 86 | Suivez-nous sur 
Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France
Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.