SecNumCloud pour les fournisseurs de services Cloud
Pourquoi et comment être qualifié SecNumCloud ?
Qu’est-ce que SecNumCloud ?
Élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le référentiel SecNumCloud propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. D’une part, les prestataires proposant une offre d’informatique en nuage (cloud) doivent présenter une bonne hygiène informatique, d’autre part, les données doivent être protégées en conformité avec le droit européen.
Quelles sont les garanties offertes par SecNumCloud pour l’utilisateur ?
Le référentiel SecNumCloud couvre des exigences relatives au prestataire de service, à son personnel, ainsi qu’au déroulement des prestations. Il garantit la robustesse de la solution face aux cyberattaques les plus courantes, mais aussi la rigueur et la formalisation des processus et méthodes du fournisseur de service. Une garantie inscrite dans la durée par le processus de qualification assurant une relation de confiance entre les prestataires et l’ANSSI.
Les exigences du référentiel garantissent la protection du service cloud vis-à-vis du droit extra-européen, grâce à la combinaison de trois types de mesures :
- techniques : étanchéité des systèmes d’information ;
- opérationnelles : seul le prestataire peut intervenir sur les ressources supportant le service ;
- juridiques : application exclusive du droit européen.
Pourquoi être qualifié SecNumCloud ?
Les solutions ayant passé avec succès la qualification obtiennent le Visa de sécurité ANSSI. Il permet d’être facilement identifié comme une solution robuste, fiable et de confiance. L’obtention du Visa permet également aux fournisseurs de services cloud d’assurer à leurs utilisateurs une protection de leurs données face aux lois et règlements non-européens. Ce Visa permet enfin de répondre aux exigences de la doctrine « cloud au centre » de l’État imposant aux administrations le recours à des solutions SecNumCloud pour l’hébergement de données qualifiées de sensibles.
Comment être qualifié SecNumCloud ?
Les prestataires de services cloud qui désirent prouver que leur offre répond aux recommandations de sécurité SecNumCloud peuvent demander à le faire attester, via un processus nommé « qualification ». Il s’agit de faire évaluer l’offre par un centre d’évaluation agréé par l’ANSSI, qui suivra une méthodologie rigoureuse et éprouvée pour attester du respect des exigences fixées par le référentiel SecNumCloud.
Tous les types de prestataires de services cloud peuvent prétendre à la qualification : logiciel en tant que service (SaaS), plateforme en tant que service (PaaS), conteneur en tant que service (CaaS) et infrastructure en tant que service (IaaS).
Passage obligé avant de se lancer dans la qualification : contacter l’ANSSI via l’adresse industries@ssi.gouv.fr
La qualification se déroule en quatre étapes :
-
demande de qualification via un dépôt de dossier ;
-
élaboration de la stratégie d’évaluation ;
-
travaux d’évaluation ;
-
décision de qualification.
Le processus prévoit également un suivi de la qualification dans le temps, en lien étroit avec l’ANSSI. La qualification est obtenue pour trois ans maximum et doit donc être renouvelée à cette échéance.
Pour obtenir plus d’informations sur l’évaluation ainsi que son coût et ses délais, vous pouvez contacter un centre d’évaluation habilité par l’ANSSI.