SecNumCloud : Tout comprendre en cinq points

Spread the love
SecNumCloud : Tout comprendre en cinq points

Si la migration des entreprises vers le cloud s’accentue avec la pandémie de Covid-19, le volume des cyberattaques aussi. Dans ce contexte, la sécurité des prestataires de services cloud est devenu un questionnement de premier ordre. Pour répondre à ces inquiétudes, l’Anssi propose de qualifier les prestataires respectant les bonnes pratiques en matière de sécurité grâce au référentiel SecNumCloud, spécialement conçu pour ces problématiques.

publicité

Qu’est-ce que SecNumCloud ?

SecNumCloud est une qualification de sécurité proposée par l’Anssi à destination des opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). Comme le précise l’Anssi dans l’introduction du référentiel, l’objectif est de proposer une « approche centralisée » plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire. Un prestataire qualifié SecNumCloud peut donc prouver que son système respecte les bonnes pratiques listées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’Anssi (les PASSI).

D’où vient SecNumCloud ?

SecNumCloud a été présenté sous sa première version officielle en 2016, et a connu une révision en 2018 pour aboutir à sa version 3.1 actuellement utilisée. Cette qualification est une évolution du label Secure Cloud présenté par l’Anssi en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information, mais ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud.

Qui est concerné ?

Les sociétés pouvant prétendre à la qualification sont des fournisseurs de service cloud qui souhaitent pouvoir prouver leur respect des bonnes pratiques en matière de sécurité. Le processus de qualification porte sur l’offre spécifique d’une société candidate, que celle-ci soit en IaaS, PaaS, ou Saas. Mais cette qualification a évidemment un intérêt pour les entreprises clientes qui cherchent à savoir quel service cloud privilégier pour la sécurité de leurs données. Une qualification correspond à une recommandation d’utilisation de ce service par l’Etat français, ce qui permet notamment d’être retenu pour une utilisation par certains services de l’Etat.

Qui sont les prestataires qualifiés ?

La liste complète est disponible dans un document sur le site de l’Anssi. Le document précise la date d’obtention de la qualification ainsi que la date de fin de qualification : la qualification SecNumCloud est obtenue pour une durée de trois ans. Une liste des candidats à cette qualification est également disponible sur le site de l’agence, mais celle-ci est partielle. Seul les candidats ayant choisi d’afficher leur candidature y sont répertoriés.

Et c’est dur ?

De l’avis des entreprises ayant déjà obtenu la qualification, le processus n’a rien d’une promenade de santé. Outre les bonnes pratiques de sécurité, les exigences SecNumCloud imposent un important travail de documentation des process et de segmentation du réseau. Les exigences du référentiel sont nombreuses et touchent à des aspects variés, allant de la sécurité physique des locaux aux personnels habilités à travailler sur l’offre qualifiée. Nous avons déjà publié plusieurs témoignages d’entreprises ayant obtenu la qualification et tous s’accordent à dire que SecNumCloud n’a rien d’évident. Le référentiel étant partiellement basé sur la norme ISO 27001, une certification de conformité ISO 27001 est une bonne première étape avant d’envisager une qualification SecNumCloud.

Leave a Reply