L’ANSSI actualise le référentiel SecNumCloud

Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » permet la qualification de prestataires de services d’informatique en nuage, plus couramment dénommés « cloud »

Publié le 09 Mars 2022 Mis à jour le 06 Décembre 2023

Avec pour objectif de promouvoir, enrichir et améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information. Grâce à la forte mobilisation de la communauté, qui a partagé plus de 450 observations venant du monde entier sur le référentiel lors de l’appel public à commentaires, l’ANSSI publie aujourd’hui la version 3.2 du référentiel d’exigences applicables aux prestataires de services cloud. Cette qualification atteste de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée.

Plus protecteur face aux lois extra-européennes

La version 3.2 de SecNumCloud explicite des critères de protection vis-à-vis des lois extra-européennes. Ces exigences garantissent ainsi que le fournisseur de services cloud et les données qu'il traite ne peuvent être soumis à des lois non européennes. SecNumCloud 3.2 intègre également le retour d’expérience des premières évaluations et précise l’exigence relative à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification. Concernant les solutions déjà qualifiées SecNumCloud, elles conservent leur Visa de sécurité et l'ANSSI accompagnera si nécessaire les entreprises concernées pour assurer la transition. « Afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques, l’identification des services cloud de confiance est indispensable. La qualification SecNumCloud contribue à répondre à ce besoin en attestant d’un très haut niveau d’exigence en matière de sécurité numérique, tant du point de vue technique qu’opérationnel ou juridique » précise Guillaume Poupard, directeur général de l’ANSSI.

La stratégie d’évaluation SecNumCloud

Tous les services de Cloud peuvent prétendre à la qualification SecNumCloud. En effet, la qualification est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Plateform as a Service) et IaaS (Infrastructure as a Service)… Plus avant, la qualification d’une offre SaaS qui s’appuierait sur un socle déjà reconnu SecNumCloud se concentrera uniquement sur les développements propres au service en bénéficiant des travaux génériques réalisés sur le niveau de sécurité du socle qualifié, facilitant ainsi l’évaluation et son accessibilité, y compris pour les acteurs de taille modeste. Afin d’établir une évaluation objective d’écart entre l’existant et le niveau requis par la qualification SecNumCloud, l’ANSSI va accompagner ses partenaires industriels avec qui elle entretient déjà d’étroits liens de confiance et leur recommander de se rapprocher des centres d’évaluation accrédités.

En ligne avec les propositions françaises sur le niveau élevé du schéma de certification européen pour les fournisseurs de services cloud

Pour éviter la fragmentation du marché, et en application du Cybersecurity Act de 2019, une harmonisation des mécanismes d’évaluation au niveau européen est en cours. Depuis 2019, la France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS). Dans ce cadre, SecNumCloud 3.2 s’inscrit en pleine cohérence avec les travaux européens et sert de référence dans les travaux sur le niveau « élevé » de cette future certification.

Conforme aux exigences européennes relatives à la protection des données personnelles et aux suites de l’arrêt «Schrems II»

L’arrêt « Schrems II » de la Cour de justice de l’Union européenne a rappelé l’exigence de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) lorsque des données personnelles de citoyens européens sont transférées hors de l’Union européenne (UE). Par ailleurs, et indépendamment de l’existence de transferts, certaines législations extraterritoriales n’offrant pas un niveau de protection essentiellement équivalent à celui garanti par le RGPD peuvent s’appliquer aux données stockées par les fournisseurs de cloud sur le territoire de l’UE. SecNumCloud 3.2 fournit à cet égard des garanties fortes en matière de protection vis-à-vis des législations non-européennes à portée extraterritoriale. Ces garanties permettront aux clients des offres de cloud qualifiées d’assurer leur conformité aux suites de l’arrêt « Schrems II » tout en écartant le risque d’un accès étranger incompatible avec le RGPD. « Alors que la décision de la CJUE demande une analyse au cas par cas qui peut s’avérer complexe, le référentiel SecNumCloud 3.2 fournit une réponse qui est conforme by design aux exigences de la Cour en matière de protection des données dans le cloud. La CNIL recommande l’usage de ce référentiel pour les responsables de traitement qui veulent garantir un haut niveau de protection des données personnelles » indique Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (CNIL).