Proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), SecNumCloud est un label spécialement pensé pour qualifier le respect des bonnes pratiques de sécurité des opérateurs cloud. La mise en place de SecNumCloud intervient dans un contexte d’accentuation de la migration des entreprises vers le cloud, et de l’augmentation du risque de cyberattaques qui l’accompagne. Ainsi, la sécurité des opérateurs cloud est devenue un enjeu de première importance, et c’est justement pour répondre à ces inquiétudes que l’ANSSI a proposé de mettre en place le référentiel SecNumCloud, qui permet de qualifier les opérateurs qui respectent les bonnes pratiques en matière de sécurité.
SecNumCloud : définition
SecNumCloud désigne le référentiel de sécurité proposé par l’ANSSI adressé aux opérateurs de services cloud en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) et SaaS (Software as a service). L’objectif annoncé, tel que précisé par l’ANSSI dans l’introduction au référentiel, est d’éviter que les entreprises clientes négocient à titre individuel les exigences de sécurité avec chaque prestataire en proposant une approche centralisée. Ainsi, lorsqu’un opérateur cloud est qualifié « SecNumCloud », cela veut dire qu’il respecte les exigences de sécurité du référentiel et que son système a été jugé conforme par des prestataires d’audit, les PASSI, eux-mêmes approuvés par l’ANSSI.
C’est en 2016 que la première version officielle de SecNumCloud a été présentée, avant d’être révisée en 2018, ce qui a abouti à la version 3.1 encore en vigueur actuellement. Rappelons par ailleurs que SecNumCloud est une évolution du label Secure Cloud, introduit par l’ANSSI en 2014. Il faut également savoir que le référentiel est basé sur la norme ISO 27001, définissant les bonnes pratiques et les exigences relatives au management de la sécurité de l’information. Cette norme ajoute en plus des exigences nouvelles qui concernent directement les opérateurs cloud. Par ailleurs, le référentiel SecNumCloud est obtenu pour une durée de 3 ans. Au terme de cette période, il est impératif de mettre en place des audits de surveillance tous les 18 mois.
A qui s’adresse le SecNumCloud ?
Nous vous le disions, SecNumCloud s’adresse aux opérateurs spécialisés dans la fourniture de services de cloud computing, notamment les services SaaS, PaaS et IaaS. Explorons tout cela un peu plus en détail :
- Les services Software as a service (Saas) sont des logiciels et applications hébergés dans une plateforme externalisée, laissant le soin au prestataire de gérer les aspects techniques. L’entreprise conserve toutefois la possibilité de réaliser des paramétrages ;
- Les services Platform as a service (PaaS) sont pensés pour les sociétés de développement web. Concrètement, elles leur fournissent l’environnement adapté pour gérer l’ensemble du processus de développement (conception, déploiement, gestion et mises à jour) ;
- Les services Infrastructure as a service (IaaS) fournissent des serveurs, stockages, réseaux et autres ressources informatiques externalisées aux entreprises, ce qui permet à ces dernières de gérer leurs logiciels. Dans ce contexte, le rôle de l’opérateur cloud est de s’occuper de la maintenance.
Vous l’aurez certainement compris, la qualification SecNumCloud s’adresse aux fournisseurs de service cloud qui souhaitent certifier leur respect des exigences et des bonnes pratiques liées à la sécurité informatique. A ce niveau, il faut savoir que le processus de qualification diffère selon l’offre de l’opérateur cloud, selon qu’il s’agisse de Saas, PaaS ou IaaS. De toute évidence, la qualification SecNumCloud prend tout son sens pour les entreprises qui cherchent un opérateur cloud de confiance pour la sécurité de leurs données. Concrètement, SecNumCloud peut être considéré comme une recommandation d’utilisation de ce service, émise par l’Etat français et qui permet aux opérateurs d’être retenus pour certains services de l’Etat.
SecNumCloud : qui sont les prestataires qualifiés ?
La liste de tous les prestataires qualifiés SecNumCloud est consultable sur le site de l’ANSSI. Sur ce document, vous pourrez consulter les dates d’obtention et de fin de qualification des opérateurs cloud concernés. Rappelons, au risque de nous répéter, que la qualification SecNumCloud est obtenue pour une durée de 3 ans, au terme de laquelle il est obligatoire pour l’entreprise de réaliser des audits de surveillance tous les 18 mois. Sachez par ailleurs que l’ANSSI met également en ligne sur son site la liste des candidats à la qualification SecNumCloud, bien qu’elle soit partielle car les candidats peuvent choisir de ne pas y être répertoriés.
Les avantages de la qualification SecNumCloud
Brèche de données, indisponibilité ou perte du système d’information, vol d’informations… Les entreprises qui choisissent d’utiliser des solutions non certifiées se retrouvent exposées à de nombreux risques. Adossé à l’Etat français, SecNumCloud apporte un niveau de garantie élevé aux services qu’il certifie, ce qui permet aux entreprises de profiter d’un niveau de sécurité supérieur et de données chiffrées et cloisonnées. En outre, l’entreprise qui opte pour un opérateur cloud qualifié profite de la détection d’incidents en temps réel, ce qui a le don d’en limiter les conséquences, en plus d’un contrôle d’accès et d’une gestion des identités renforcés. Par ailleurs, rappelons que les exigences de SecNumCloud vont au-delà de l’aspect « virtuel », et s’intéressent aussi au renforcement de la sécurité physique, grâce à la mise en place de zones privées contrôlées.
Vous l’aurez compris, toute entreprise manipulant des données sensibles se doit d’opter pour une solution certifiée. C’est aussi le cas des OIV (opérateurs d’importance vitale) et des organismes d’Etat, tenus de respecter des exigences de confidentialité élevées. Rappelons enfin que le SecNumCloud reprend les trois quarts de la norme ISO 27001, à la différence qu’il est plus précis, notamment en prenant en compte l’intégralité des aspects du cloud (technique, physique, contractuel et organisationnel).
Avis sur le processus de qualification SecNumCloud
Le processus d’obtention de la qualification SecNumCloud est assez complexe, de l’aveu même des entreprises certifiées. En plus des bonnes pratiques de sécurité, il faut savoir que SecNumCloud impose des exigences qui impliquent un travail de fond sur la documentation des processus et la segmentation du réseau. Dans les faits, les exigences de la qualification sont non seulement nombreuses, mais touchent également à plusieurs aspects, allant jusqu’aux personnes habilitées à travailler sur l’offre qualifiée et la sécurité physique des locaux.