SecNumCloud : Tout comprendre sur la qualification de l'ANSSI

Parlons SecNumCloud

Le référentiel SecNumCloud (SecNum pour les intimes), créé par l’ANSSI en 2016, permet la qualification de fournisseurs de services cloud, avec pour objectif d'améliorer l’offre "de confiance" pour toute entreprise ou service public qui souhaite externaliser une partie de son SI. Mais concrètement : Quel intérêt pour votre SI ou vos utilisateurs ? Quels sont les défis à relever ? Voyons ensemble de quoi il retourne.

SecNumCloud, pour qui ?

Il est important de commencer par une distinction entre deux types de rapport à SecNumCloud. Vous (votre entreprise) pouvez être : 

• consommateurs de services cloud : vous vous appuyez sur un fournisseur de services cloud pour tout ou partie de votre système d'information ;
• fournisseurs de services cloud : vous maintenez et commercialisez un ou plusieurs services IaaS, PaaS, SaaS ou CaaS.

Même si la répartition est inégale, cela englobe une bonne partie des entreprises françaises et, sans trop s'avancer, si vous lisez cet article, il y a des chances que le sujet vous concerne.

SecNumCloud, pour quoi ?

Même si cela n’est jamais explicitement énoncé, l’initiative SecNumCloud est principalement née d’une volonté, celle de renforcer la souveraineté de la France, voire de l’Europe. 

Aujourd’hui, les principaux acteurs du Cloud sont majoritairement étrangers. Ils ont des offres plus riches et profondes que nos acteurs locaux. Cela les rend attractifs et leur permet de capter la majorité des parts de marché. Un constat de la situation de la souveraineté numérique française a déjà été établi dans ce précédent article.

Toutefois, ce marché traditionnel ne répond pas aux exigences de sécurité et de souveraineté souhaitées par l’État français. L'ANSSI offre donc un cahier des charges adapté sur lesquels elle pose un certain nombre de critères adaptés à cette vision stratégique.

Côté consommateurs

Le référentiel SecNumCloud pose des exigences fortes sur la sécurité des services proposés par les fournisseurs. Voici quelques cas d'usage de la certification SecNumCloud :

• hébergement de données sensibles : les entreprises et les administrations peuvent utiliser la certification SecNumCloud pour choisir un fournisseur de services cloud afin de  stocker et traiter des données sensibles ou critiques : de santé, financières ou personnelles, défense, etc. ;
• sécurité des échanges de données : la certification SecNumCloud permet de garantir la sécurité des échanges de données entre les différentes parties impliquées dans un projet ;
• gestion des risques de sécurité : la certification SecNumCloud permet aux entreprises et aux administrations de réduire les risques de sécurité liés à l'utilisation de services cloud, en s'assurant que les fournisseurs de services cloud respectent les exigences de sécurité les plus strictes.

L'ANSSI tient à jour une liste de prestataires certifiés, ce qui évite une phase de recherche / qualification de fournisseur.

Côté fournisseurs

Faire la démarche de vous certifier (et de la réussir) vous assurera :

• que les entités publiques françaises pourront faire partie de vos clients ;
• d'être listé parmi les prestataires officiellement certifiés par l’ANSSI ;
• d'être conforme à un référentiel sécurité exigeant qui renforce votre image de marque auprès de vos clients et prospects ;
• de vous ouvrir des opportunités dans des marchés exigeants, tels que la défense ou certaines industries.

Comment devenir SecNumCloud ?

Côté consommateurs

On pourrait croire que la position de consommateur fait disparaître les contraintes… que nenni ! En tant que consommateurs de services certifiés SecNumCloud, attendez-vous à adapter vos pratiques aux services consommés selon un modèle de responsabilité partagée.

Le respect du référentiel SecNumCloud influence la forme finale des services proposés. Vous devrez faire avec si vous voulez pouvoir vous targuer d'appuyer votre SI sur des services SecNum.

Le détail exact des défis qui vont se poser est dépendant des services SecNumCloud que vous allez intégrer autant que de votre existant. Il est donc impossible d'en faire une liste ici, mais soyez conscient de l'effort que vous allez engager. Une phase d'étude, d'architecture et de planification approfondie est une bonne première étape dans ce genre de démarche.

À l'écriture de ce billet, il existe assez peu d'options de fournisseurs certifiés SecNumCloud, voir partie “Informatique en nuage (SecNumCloud)” :

• Secure Temple (IaaS)
• Oodrive
• service Oodrive collaborate (SaaS)
• service Oodrive meeting (SaaS)
• service Oodrive share (SaaS)
• Outscale SAS (IaaS)
• OVH (IaaS)
• Wordline (IaaS)

Les entreprises qui sont en processus de certification qui ont accepté de rendre l'information publique sont listées ici.

Côté fournisseurs

Devenir SecNumCloud demande de nombreux efforts et investissements. Le coût des certifications, des serveurs, des licences ou encore de la main d’œuvre compétente est loin d'être négligeable. 

Parmi les points saillants à noter :

• être certifié ISO27001. Pas obligatoire, mais fortement conseillé si l’on considère que le référentiel SecNumCloud est fondamentalement basé sur l’annexe A de la norme ISO 27001 ;
• implémenter un Système de Management de la Continuité d’Activité (SMCA) pour piloter son PCA (Plan de Continuité d’Activité) ;
• implémenter un SIEM (Security Information and Event Management) "efficace" ;
• respecter l'ensemble des réglementations sur la protection des données (RGPD, DSP2, etc.).

Pour qu’un service d'un fournisseur cloud puisse être certifié, le fournisseur doit :

1. être éligible : la certification SecNumCloud n'est disponible que pour les fournisseurs de services cloud ayant leur siège social en France, en Europe ou dans un pays disposant d'un accord de reconnaissance mutuelle avec la France ;
2. comprendre les exigences et s'y conformer ;
3. effectuer une autoévaluation : avant de demander la certification, le fournisseur de services cloud doit effectuer une autoévaluation satisfaisante ;
4. engager un auditeur accrédité : il se doit d’effectuer une vérification des contrôles de sécurité du fournisseur de services cloud pour garantir la conformité aux exigences de certification SecNumCloud;
5. soumettre une demande : le fournisseur de services cloud doit soumettre une demande de certification à l'ANSSI. La demande doit inclure le rapport d'audit, l'autoévaluation et d'autres documents requis ;
6. passer l'évaluation de l'ANSSI : l'ANSSI examinera la demande et la documentation à l'appui et procédera à son évaluation des contrôles de sécurité du fournisseur de services cloud.

Une fois que le fournisseur de services satisfait à toutes ces exigences, il obtient la certification SecNumCloud pour son service. Ce processus de certification peut prendre plusieurs mois à compléter et va nécessiter des efforts et des investissements.

La certification SecNumCloud est valable trois ans, mais l’entreprise doit être auditée annuellement pour garantir la conformité continue aux exigences de certification.

SecNumCloud et le futur

Le passage de la certification SecNumCloud est un défi pour les fournisseurs de services cloud, en raison des exigences de sécurité complexes et profuses imposées par le référentiel. Sa réussite nécessite des investissements considérables en matière de temps, d'argent et de ressources. Cependant, l’enjeu est l’ouverture de nouvelles opportunités sur un marché restreint.

Depuis 2019, La France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS). Dans ce cadre, SecNumCloud sert de référence sur le niveau « élevé » de cette future certification qui se substituera, à terme, à la qualification SecNumCloud française.

Aller plus loin :

• FAQ SecNumCloud
• Le référentiel