FAQ : avant de se lancer dans la qualification SecNumCloud

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI accorde des Visas de sécurité ANSSI à des solutions, produits ou services qui démontrent un niveau élevé de sécurité et de confiance. Dans le cadre de cette démarche, l’agence a élaboré en 2016 le référentiel SecNumCloud pour permettre la qualification de prestataires de services d’informatique en nuage, dit cloud. Son objectif : promouvoir, enrichir et améliorer l’offre de prestataires de cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information.

Le référentiel SecNumCloud a été conçu sans présupposition quant aux technologies utilisées. Il s’adresse à tous les prestataires de services d’informatique en nuage désireux de démontrer leur savoir-faire, ainsi que la qualité de leurs prestations et la confiance qui peut leur être accordée. Le référentiel peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire.

Les prestataires offrant des services de type SaaS (Software as a service), PaaS (Platform as a service), IaaS (Infrastructure as a service) et CaaS (Container as a Service) tels que décrits dans le référentiel sont éligibles à une qualification SecNumCloud.

Cependant, les offres d’informatique en nuage s’enrichissant et se diversifiant, il est recommandé aux prestataires potentiellement intéressés de se renseigner avant le dépôt de leur demande auprès de l’ANSSI (industries@ssi.gouv.fr) pour une analyse préliminaire du positionnement de leur offre dans le modèle utilisé.

La qualification est valable pour une durée de 3 ans mais est conditionnée par le respect des engagements du prestataire durant toute la durée de la qualification. Une fois la qualification octroyée, celle-ci est suivie au moyen d’audits annuels de surveillance. Au terme des 3 ans, le prestataire peut demander le renouvellement de la qualification.

Les offres qualifiées SecNumCloud sont à retrouver dans la liste des produits et services qualifiés.

Les projets de qualification que les prestataires ont accepté de rendre publiques sont disponibles sur le site de l’ANSSI. En cas de suspension du projet, celui-ci est retiré de la liste.

Pour éviter la fragmentation du marché, et en application du Cybersecurity Act de 2019, une harmonisation des mécanismes d’évaluation au niveau européen est en cours. Depuis 2019, La France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS). Dans ce cadre, SecNumCloud s’inscrit en pleine cohérence avec les travaux européens et sert de référence dans les travaux sur le niveau « élevé » de cette future certification qui se substituera à la qualification SecNumCloud française.

La mise à jour du référentiel s’inscrit dans la lignée de la stratégie nationale pour le cloud officialisée par la circulaire n° 6282-SG du 5 juillet 2021 et de l’élaboration du schéma de certification européen « Cloud Services » au niveau élevé. Les principaux apports concernent l’explicitation de critères techniques et juridiques permettant d’assurer une immunité aux lois extra-européennes (voir la suite de cette FAQ) ainsi que la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.

Il convient, en premier lieu, de vous renseigner sur les exigences formulées par le référentiel afin de vérifier votre capacité à y répondre ou à mener les changements nécessaires pour vous y conformer. A sa lecture, vous constaterez que le document référence d’autres documents de l’ANSSI (guides, recommandations…) qui peuvent vous guider dans votre démarche de renforcement de la cybersécurité et afin d’atteindre la conformité à SecNumCloud.
Le référentiel est disponible ici : lien
Il convient également de prendre connaissance du processus de qualification en tant que tel et des documents associés : le processus de qualification, les portées, le formulaire de demande de qualification.

Dans un premier temps, vous devez entrer en contact avec l’ANSSI via l’adresse industries@ssi.gouv.fr. Nous vous demanderons de présenter votre projet, votre entreprise et toute information que vous jugerez utile pour nous permettre de vous orienter au mieux.

Dans un second temps, si vous avez confirmé la pertinence de cette démarche pour votre service cloud, un dossier de demande d’entrée en qualification devra être constitué et soumis à l’ANSSI via l’adresse qualification@ssi.gouv.fr.

C’est possible ; il s’agit alors de composition. La qualification fera dans ce cas l’objet d’une stratégie d’évaluation adaptée : le service IaaS déjà qualifié sera « détouré » et son évaluation consistera à auditer ses conditions de mise en œuvre principalement par l’analyse de la convention de service passée avec le fournisseur.

Les charges d’évaluation devraient être diminuées et le coût de la qualification sera donc moins élevé. Le gain en charges d’évaluation doit principalement porter sur la réduction du périmètre de l’évaluation de chaque exigence. Les contrôles concernant, par exemple, la sécurité physique du centre d’hébergement, seront nécessairement moindres. Cependant, il convient également de considérer que le référentiel SecNumCloud est fondamentalement basé sur l’annexe A de la norme ISO27001 et que les aspects organisationnels et documentaires restent importants même si, en l’occurrence, ils se limiteraient au périmètre des prestations SaaS. Cet aspect devra être pris en compte au moment de la planification de l’évaluation avec le centre d’évaluation retenu pour la qualification.

L’architecture retenue pour le service à qualifier devra démontrer sa capacité à assurer un cloisonnement entre ses différents commanditaires, mais aussi vis-à-vis des autres commanditaires du service faisant office de « socle ». Les ressources du socle dont vous fera bénéficier le prestataire déjà qualifié ne devront pas être accessibles aux autres clients du service « socle ». Enfin, dans sa gestion des risques, l’offreur du service SaaS devra prendre en compte le risque de perte ou de non renouvellement de la qualification de l’offre IaaS.

La qualification SecNumCloud exige un cloisonnement des flux entre les opérations liées au bon fonctionnement du service qualifié et celles liées aux usages du service par les entités faisant appel à un prestataire de services d’informatique en nuage (commanditaire). Cela se traduit par des exigences d’isolation des réseaux pour garantir le cloisonnement entre les différentes composantes du service Cloud : usages cloud, gestion du service, gestion de l’infrastructure, etc. Il est également exigé que les interfaces d’administration utilisées par le prestataire et celles mises à disposition des commanditaires1 soient distinctes et protégées.

Plus de détails sont disponibles dans les chapitres « 9.6. Accès aux interfaces d’administration » et « 13.2. Cloisonnement des réseaux » du référentiel SecNumCloud.(voir document plus bas)

Les postes qui permettent l’administration du service qualifié SecNumCloud sont des équipements sensibles qui permettent d’interagir avec les composants matériels ou logiciels de l’infrastructure du service.
Ainsi, il convient de les protéger en excluant leur utilisation dans d’autres contextes que celui de l’administration du service SecNumCloud et en mettant en place des mesures de renforcement de leur sécurité (procédure documentée, durcissement de la configuration, etc.).

Plus de détails sont disponibles dans le chapitre « 12.12. Administration » du référentiel SecNumCloud.

La situation de mobilité des administrateurs est possible, mais elle doit être encadrée par une politique documentée et la solution mise en œuvre doit assurer que le niveau de sécurité en mobilité est au moins équivalent au niveau de sécurité hors situation de mobilité. Cette solution doit notamment inclure l’utilisation d’un tunnel chiffré, non débrayable et non contournable pour l’ensemble des flux et le chiffrement intégral du disque.

Plus de détails sont disponibles dans le chapitre « 12.12. Administration » du référentiel SecNumCloud.

Le service SecNumCloud concentre des données – parfois sensibles – provenant de nombreux commanditaires. Il est nécessaire pour votre personnel ayant accès à l’administration du service SecNumCloud de faire preuve d’une rigueur exemplaire, en particulier pour ceux disposant de privilèges d’administration élevés sur les composants et matériels de l’infrastructure SecNumCloud.
Ainsi, des vérifications adaptées aux privilèges des personnels doivent être effectuées lors de la sélection des candidats. Pour ceux disposant de privilèges importants, ces vérifications doivent être renforcées par un engagement de responsabilité renvoyant aux clauses du code du travail sur la protection du secret des affaires et de la propriété intellectuelle.

Plus de détails sont disponibles dans les chapitres « 7.1. Sélection des candidats » et « 7.2. Conditions d’embauche » du référentiel SecNumCloud.

Il est indispensable de s’assurer que les intervenants satisfont aux vérifications imposées lors de la sélection des candidats de votre propre entreprise ou que leurs interventions (sur site ou à distance) sont supervisées par un membre de votre personnel satisfaisant à ces obligations.

Cette protection repose sur l’assurance que votre société est soumise exclusivement aux lois de l’Union européenne.
Ainsi, afin de renforcer la confiance accordée dans le cadre d’une qualification SecNumCloud, les exigences suivantes concernent votre société :

• la localisation du siège social (établi au sein d’un État membre de l’UE) ;
• la capitalisation (les entités tierces localisées dans un État hors UE restent minoritaires) ;
• le recours aux services de sociétés tierces hors UE (compétence pratique des sociétés tierces à obtenir les données opérées au travers du service SecNumCloud) ;
• l’autonomie (garanties sur l’autonomie d’exploitation continue dans la fourniture du service SecNumCloud) ;
• et l’indépendance aux ingérences (respect de la législation en vigueur, des droits fondamentaux et valeurs de l’Union européenne).

Plus de détails sont disponibles dans le chapitre « 19.6. Protection vis-à-vis du droit extra-européen » du référentiel SecNumCloud.

Les exigences liées à la territorialité du service sont essentielles et contribuent à l’objectif de maîtrise des données et du service. Ces exigences concernent le stockage et le traitement des données, mais également les opérations d’administration et de supervision du service, ou encore les sauvegardes des informations.
Ainsi, doivent être localisés sur le territoire de l’Union européenne :

• le stockage et le traitement des données des commanditaires ;
• les annuaires des comptes des personnels effectuant les opérations d’administration et de supervision du service ;
• l’annuaire contenant les comptes des utilisateurs du service (commanditaires) ;
• et les données techniques (log, AC racines, etc.).

Enfin, les annuaires gérant les comptes d’administration de votre société doivent être distincts de ceux utilisés pour la gestion des comptes utilisateurs des commanditaires.

Plus de détails sont disponibles dans les chapitres « 15.2. Sauvegarde des informations » et « 19.2. Localisation des données » du référentiel SecNumCloud.