SecNumCloud

SecNumCloud
Status Publiée
Version 3.2 (2022)
Organisation ANSSI
Domaine Management de la sécurité de l'information des offres de services cloud
Site internet https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud


SecNumCloud est une qualification de l'ANSSI créée en 2016 pour certifier la qualité et la sécurité d'une offre de service cloud.

Définition

SecNumCloud est une qualification de sécurité qui s'adresse aux prestataires de services cloud aussi bien en PaaS (Platform as a service), en IaaS (Infrastructure as a service) ou en SaaS (Software as a service)[1].

La qualification SecNumCloud s'intéresse aux exigences relatives au prestataire de services, à son personnel et au déroulement des prestations. Elle considère pour cela des mesures techniques (étanchéité des systèmes d'information), opérationnelles (seul le prestataire peut intervenir sur les ressources supportant le service) et juridiques (application exclusive du droit européen)[2].

La qualification SecNumCloud en version 3.2 garantit aux clients de prestations de service cloud : un exploitant non soumis aux lois extra-territoriales, soit parce qu'il est français ou européen avec une part des capitaux majoritairement européens ;et des centres de données stationnés sur le sol européen.

Elle s'adresse à une offre de service particulière et non à un prestataire dans sa globalité[3].

Genèse

L'échec des projets de cloud public français Andromède (Cloudwatt et Numergy) n'a pas été en pure perte.

La loi de programmation militaire de 2013 va enclencher des réflexions sur la sécurité informatique. Ces réflexions quant à la sécurité informatique dans le cloud ont permis de mettre au point des méthodes d'évaluation des offres. Cela pousse l'ANSSI à créer Secure Cloud en . Secure Cloud devient SecNumCloud en 2016[4],[2].

L'ANSSI définit la qualification SecNumCloud dans sa version 3.0 en 2016. Cette qualification est basée sur la norme ISO/CEI 27001[5] et comporte deux niveaux de certification « essentiel » et « avancé »[6].

L'entrée en vigueur du RGPD en 2018 va entrainer la réunion des deux niveaux de certification en un seul[6].

En 2021 est ajoutée la notion d'absence de soumission à une juridiction extra-européenne, suivant ainsi le discours gouvernemental de qui définit la nouvelle stratégie nationale sur le cloud[6].

La définition de la version 3.2 intervient en 2022. Dans sa version 3.2 elle intègre des exigences supplémentaires, notamment en termes de souveraineté et de protection vis à vis du droit extra-européen[5].

Objectifs

La version 3.2 de la qualification SecNumCloud répond aux nouvelles obligations de la doctrine gouvernementale « Cloud au centre » publiée le . Cette doctrine consiste à se protéger contre « tout accès non autorisé par des autorités publiques d'Etats tiers ». Un changement doctrinaire qui existe déjà dans la loi SREN du et qui oblige les administrations traitant des « données sensibles » à faire appel à des fournisseurs non soumis à des lois extra-territoriales. Les données sensibles sont :

  1. les données relevant de secrets protégés par la loi ;
  2. les données relevant de la sauvegarde de la sécurité nationale ;
  3. les données relevant du maintien de l'ordre public ;
  4. les données relatives à la protection de la santé et de la vie des personnes[7].

L'avenir de SecNumCloud dépend cependant du futur statut européen, l'EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services. Un premier projet a été rédigé en 2020, mais en 2024, aucune version définitive n'a encore été publiée[2].

Processus de certification

Le processus de certification SecNumCloud comporte 4 jalons :

  1. J0, l'acceptation de la demande de qualification ;
  2. J1, l'acceptation de la stratégie d'évaluation ;
  3. J2, l'acceptation des travaux d'évaluation ;
  4. J3, la décision de qualification[2].

Annexes

Documents externes

  • ANSSI, Prestataires de services d’informatique en nuage (SecNumCloud) : Référentiel d'exigences, , 55 p. (lire en ligne [PDF])


Références

  1. Louis Adam, « SecNumCloud : Tout comprendre en cinq points » Accès libre, ZDNet, (consulté le )
  2. a b c et d Alice Vitard, « Trois questions sur le visa de sécurité SecNumCloud » Accès libre, L'Usine digitale, (consulté le )
  3. Virginie Desbordes, « Face au risque cyber, cap sur le cloud de confiance » Accès libre, AFNOR, (consulté le )
  4. Hélène Bégon, La transformation numérique des administrations, La Documentation française, , 407 p. (ISBN 9782111574809, lire en ligne), p.398
  5. a et b Augustin Ngoma, Carole Deghmoun et Ben Cacha Angat Nivi, Clouds publics : Cybersécurité : notre souveraineté est-elle garantie ?, VA Editions, , 224 p. (ISBN 9782360932931, lire en ligne)
  6. a b et c Stéphane Taillat, Amaël Cattaruzza et Didier Danet, La Cyberdéfense : Politique de l'espace numérique, Armand Collin, , 288 p. (ISBN 9782200636753, lire en ligne)
  7. Alice Vitard, « Exit les cloud américains, les ministres exhortés à utiliser des solutions SecNumCloud » Accès libre, L'Usine digitale, (consulté le )

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.