SECNUMCLOUD, un label de confiance
Le Secnumcloud, c’est quoi ?
Lancé en 2016 avec deux niveaux de garantie, « SecNumCloud avancé » et « SecNumCloud essentiel », le référentiel évolue et devient « SecNumCloud ». A l’occasion de l’entrée en vigueur du RGPD et suite à une coopération entre l’ANSSI et la CNIL, SecNumCloud inclut désormais les exigences de la RGPD.
SecNumCloud est un label de sécurité proposé par l’Anssi à destination des opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service).
Le référentiel de l’ANSSI précise son objectif : Il s’agit de proposer une « approche centralisée » plutôt que de laisser les entreprises négocier leurs exigences de sécurité avec chaque prestataire. Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’ANSSI (les PASSI).
Qui est concerné par ce référentiel ?
Tous les services cloud peuvent prétendre à la qualification SecNumCloud et au visa ANSSI qui l’accompagne. Le processus de qualification porte sur une offre spécifique – en SaaS, PaaS, IaaS ou CaaS. Une fois obtenue, la qualification est valable trois ans, période pendant laquelle des audits annuels seront réalisés pour s’assurer que le processus respectent les exigences.
Pour les opérateurs cloud, le label SecNumCloud est un label émis par l’État : c’est une façon de signifier que tel ou tel acteur du cloud satisfait aux plus hautes exigences de sécurité. Les acteurs qualifiés sont également susceptibles d’être utilisés par les services de l’État. Mais l’obtention de la qualification est surtout une manière, pour les clients de ces prestataires, d’identifier les services cloud les plus aptes à garantir la sécurité de leurs données.
Évolutions : SecNumCloud et EUCS
Si ce label européen l’intègre, EUCS aura vocation à remplacer SecNumCloud. Si EUCS n’intègre pas les critères attendus par l’ANSSI, il est possible que celle-ci conserve un modèle de qualification avec des exigences complémentaires (c’est une possibilité qu’elle a évoquée) pour les organisations étatiques et critiques françaises (OIV et défense, paraétatiques, etc.). Tout comme cela s’est passé pour EIDAS.
Label : SecNumCloud 3.2 et « Cloud de Confiance »
Le « cloud de confiance » est un label annoncé par le MINEFI, et par Bruno Le Maire, en même temps que la nouvelle doctrine cloud de l’État. L’État s’engage à utiliser le cloud pour ses nouveaux projets IT, mais ces clouds doivent être conformes à ce nouveau label.
Le label « cloud de confiance » cumule deux exigences :
- être SecNumCloud ;
- ne pas dépendre de droits extra-européens
L’évolution de SecNumCloud qui intègre désormais le second point fait que les deux labels sont devenus équivalents. Être certifié SecNumCloud 3.2 revient donc à être de facto Cloud de Confiance.
Aujourd’hui, trois acteurs le sont (pour tout ou partie de leurs offres) : OVHcloud, Outscale (Dassault Système) et Oodrive.
SecNumCloud & Interstis
Dans toute démarche allant vers des solutions de Digital Workplace, il est essentiel de placer la sécurité des informations au cœur du dispositif. Chez Interstis, nous travaillons depuis de nombreuses années avec 3D Outscale sur ce sujet. Notre partenariat s’est renforcé au fur et à mesure du temps car nous avons imbriqué en totalité la logique SecNumCloud à notre plateforme. Interstis est une plateforme collaborative Saas hébergée sur un environnement SecNumCLoud