SECNUMCLOUD : un label de confiance

Le Secnumcloud, c’est quoi ?

Lancé en 2016 avec deux niveaux de garantie, « SecNumCloud avancé » et « SecNumCloud essentiel », le référentiel évolue et devient « SecNumCloud ». À l’occasion de l’entrée en vigueur du RGPD et suite à une coopération entre l’ANSSI et la CNIL, SecNumCloud inclut désormais les exigences de la RGPD.

SecNumCloud est un label de sécurité proposé par l’Anssi à destination des opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service).

Le référentiel de l’ANSSI précise son objectif : Il s’agit de proposer une « approche centralisée » plutôt que de laisser les entreprises négocier leurs exigences de sécurité avec chaque prestataire. Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’ANSSI (les PASSI).

Qui est concerné par ce référentiel ?

Tous les services cloud peuvent prétendre à la qualification SecNumCloud et au visa ANSSI qui l’accompagne. Le processus de qualification porte sur une offre spécifique – en SaaS, PaaS, IaaS ou CaaS. Une fois obtenue, la qualification est valable trois ans, période pendant laquelle des audits annuels seront réalisés pour s’assurer que le processus respecte les exigences.

Pour les opérateurs cloud, le label SecNumCloud est un label émis par l’État : c’est une façon de signifier que tel ou tel acteur du cloud satisfait aux plus hautes exigences de sécurité. Les acteurs qualifiés sont également susceptibles d’être utilisés par les services de l’État. Mais l’obtention de la qualification est surtout une manière, pour les clients de ces prestataires, d’identifier les services cloud les plus aptes à garantir la sécurité de leurs données.

Évolutions : SecNumCloud et EUCS

Si ce label européen l’intègre, EUCS aura vocation à remplacer SecNumCloud. Si EUCS n’intègre pas les critères attendus par l’ANSSI, il est possible que celle-ci conserve un modèle de qualification avec des exigences complémentaires (c’est une possibilité qu’elle a évoquée) pour les organisations étatiques et critiques françaises (OIV et défense, para-étatiques, etc.). Tout comme cela s’est passé pour EIDAS.

Label : SecNumCloud 3.2 et « Cloud de Confiance »

Le « cloud de confiance » est un label annoncé par le MINEFI, et par Bruno Le Maire, en même temps que la nouvelle doctrine cloud de l’État. L’État s’engage à utiliser le cloud pour ses nouveaux projets IT, mais ces clouds doivent être conformes à ce nouveau label.

Le label « cloud de confiance » cumule deux exigences :

• être SecNumCloud ;
• ne pas dépendre de droits extra-européens

L’évolution de SecNumCloud qui intègre désormais le second point fait que les deux labels sont devenus équivalents. Être certifié SecNumCloud 3.2 revient donc à être de facto Cloud de Confiance.

Aujourd’hui, trois acteurs le sont (pour tout ou partie de leurs offres) : OVHcloud, Outscale (Dassault Système) et Oodrive.

SecNumCloud & Interstis

Dans toute démarche allant vers des solutions de Digital Workplace, il est essentiel de placer la sécurité des informations au cœur du dispositif. Chez Interstis, nous travaillons depuis de nombreuses années avec 3D Outscale sur ce sujet. Notre partenariat s’est renforcé au fur et à mesure du temps car nous avons imbriqué en totalité la logique SecNumCloud à notre plateforme. Interstis est une plateforme collaborative Saas hébergée sur un environnement SecNumCloud.

Pourquoi ce Label est un vrai atout pour les plateformes collaboratives ?

C’est tout d’abord une question de confiance, car ce label est une preuve tangible que la plateforme collaborative respecte les normes strictes en matière de sécurité de l’information. Cela peut rassurer les utilisateurs, en particulier les entreprises et les organisations publiques, quant à la protection de leurs données sensibles.

Le label SecNumCloud est souvent requis par les organismes gouvernementaux, les entreprises dans le secteur de la santé, de la finance, etc... En obtenant cette certification, les plateformes collaboratives peuvent s’assurer qu’elles respectent les exigences légales en matière de sécurité.

Les plateformes collaboratives traitent souvent des informations sensibles, telles que des documents professionnels, des communications internes et des données clients. Ce label implique que la plateforme prend des mesures de sécurité appropriées pour protéger ces données contre les cyberattaques.

Pour obtenir ce label, il est exigé une évaluation approfondie des risques et la mise en place de mesures de sécurités appropriées. Cela permet aux plateformes collaboratives de mieux comprendre et de gérer les risques liés à la sécurité de leurs services.

D’une autre part, c’est un avantage compétitif d’être labellisé SecNumCloud, car les entreprises et les organisations cherchent de plus en plus à travailler avec des fournisseurs des solutions SaaS qui démontrent un engagement envers la sécurité.

Une plateforme collaborative sécurisée favorise la confiance et la productivité des utilisateurs car ils peuvent partager des informations en toute sécurité, ce qui améliore leur capacité à collaborer de manière efficace.

Le processus de certification SecNumCloud encourage les équipes de développement et d’exploitation à adopter les bonnes pratiques en matière de cybersécurité. Ce qui renforce la culture de la sécurité au sein de l’entreprise.