SecNumCloud est une qualification de sécurité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui s’applique aux prestataires de services cloud. Elle vise à garantir un niveau élevé de sécurité, de souveraineté et de fiabilité pour les services et données hébergés dans le cloud, notamment ceux manipulés par l’État, les OIV et les OSE.
Concrètement, SecNumCloud permet aux organisations de s’appuyer sur des prestataires dont la sécurité a été évaluée et validée selon un référentiel exigeant. Le recours à un cloud SecNumCloud simplifie la conformité, renforce la protection des données sensibles et sécurise la chaîne de traitement, tout en maintenant la flexibilité et la scalabilité du modèle cloud.
La migration des entreprises vers le cloud s’accentue en même temps que le volume des cyberattaques augmente. Dans ce contexte, la sécurité des prestataires de services cloud est devenue un enjeu stratégique, tant pour les organisation publiques que privées.
Pour répondre à ces préoccupations, l’ANSSI a élaboré le référentiel SecNumCloud, un ensemble d’exigences spécifiquement conçu pour sécuriser les prestataires de services cloud et les données qu’ils hébergent.
Cette qualification garantit que les prestataires respectent un niveau élevé de bonnes pratiques en matière de sécurité, de gouvernance et de souveraineté. Elle permet ainsi d’offrir une solution fiable et sécurisée pour héberger des données particulièrement stratégiques et sensibles dans le cloud.
Qu’est-ce que SecNumCloud et qui peut y prétendre ?
SecNumCloud est une qualification de sécurité proposée par l’ANSSI depuis 2016, pour les opérateurs cloud proposant des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service), CaaS (Containers as a Service) ou SaaS (Software as a Service). L’objectif d’une telle certification est de proposer une approche uniformisée des exigences de sécurité et de souveraineté garanties par les prestataires. Ainsi, un prestataire qualifié SecNumCloud offre un service respectant les bonnes pratiques listées dans le référentiel et la conformité de son système a été vérifiée et agréé par l’ANSSI.
Cette qualification a évidemment un intérêt pour les entreprises cherchant un service cloud qui privilégie la sécurité et la souveraineté pour protéger leurs données. La qualification SecNumCloud correspond à une recommandation par l’État français, ce qui permet notamment au prestataire d’être retenu par certains services de l’État.
A qui s’adressent les produits certifiés SecNumCloud ?
Les produits estampillés SecNumCloud sont conçus pour les organisations, publiques comme privées, qui ont à cœur de faire appel à un service de qualité, souverain et sécurisé, et qui veulent que leurs données soient facilement accessibles et transférables vers un autre service cloud.
Les entités publiques
Les acteurs publics ont pour obligation de faire appel à des prestataires référencés par l’État et ses services annexes. C’est en ce sens que l’ANSSI a développé la qualification SecNumCloud, offrant aux organisations et services publics des solutions d’hébergement et de stockage de données dans le Cloud qualifiées par l’État lui-même.
Les opérateurs d’importance vitale (OIV)
Les OIV sont des organisations identifiées et définies par l’État français comme ayant des activités participant de façon vitale et indispensable au fonctionnement de l’économie. Elles sont réparties à travers quatre groupes d’activité : humaine, régalienne, économique et technologique. En raison de leur importance capitale, ces opérateurs font partie du plan de sécurité d’opérateur d’importance vitale (PSO) qui leur impose une politique stricte en termes de sécurité. La cybersécurité est un des fondements de ce plan et oblige les OIV, par le biais de l’ANSSI, à faire appel à des prestataires qualifiés pour le stockage de leurs données. Les OIV sont donc des destinataires directs de la qualification SecNumCloud. Le recours à SecNumCloud ne remplace cependant pas l’homologation des SIIV par l’OIV concerné.
Secteur d’activité des OIV : Santé, transport, gestion de l’eau, industrie, énergie, finances, communications, activité militaire, activité civile de l’État, activité judiciaire, alimentation, espace et recherche.
Les opérateurs de services essentiels (OSE)
Les OSE sont, quant à eux, définis par l’ANSSI comme étant tributaires des réseaux ou systèmes d’information ayant un impact essentiel sur le fonctionnement de l’économie. Ils sont soumis aux mêmes obligations que les OIV et doivent faire appel à des prestataires de confiance pour l’hébergement de leurs données dans le cloud. Les OSE, sont donc également des bénéficiaires du label SecNumCloud.
Les autres acteurs privés
Les entreprises privées sont elles aussi confrontées aux nombreuses menaces cyber, notamment en ce qui concerne la gestion des données sensibles. Ces entreprises – et de ce fait les utilisateurs finaux de solutions cloud – sont donc de plus en plus soucieuses du traitement des données et tendent à se tourner vers des prestataires qui justifient du niveau le plus élevé en matière de cybersécurité.
Quels sont bénéfices de la qualification SecNumCloud ?
Un fournisseur cloud qualifié SecNumCloud offre un produit premium, face à une multitude d’offres bon marché, mais non-souveraines et peu sécurisées. Forcément, ce très haut niveau de sécurité a un coût. La plupart des prestataires Cloud qualifiés par l’ANSSI proposent des offres spécifiques qualifiées SecNumCloud qui sont plus chères que leurs offres initiales, un surcoût notamment dû à la mise en conformité des infrastructures et des processus internes pour respecter le cahier des charges strict SecNumCloud. En effet, l’ANSSI impose des exigences importantes sur l’intégralité de leur chaîne de production : gestion du risque, des actifs, des incidents, sécurité des ressources humaines, cryptologie, sécurité physique et environnementale, conformité, etc.
Pourquoi choisir un cloud SecNumCloud pour vos données sensibles ?
Le label SecNumCloud permet d’assurer aux organisations un niveau élevé de sécurité dans la protection de leurs données, ce qui constitue un gage de sécurité majeur en permettant de prévenir les crises cyber de tous types. Au terme d’un processus long et exigeant, les prestataires certifiés SecNumCloud démontrent leur capacité à assurer les meilleures pratiques pour répondre aux risques et vous offrir le service le plus sécurisé.
Cette qualification devient la norme pour les acteurs du cloud français et sert de référence au futur schéma européen. Pour renforcer la souveraineté du cloud et arrêter de dépendre des GAFAM, il est préférable de se tourner vers des services qualifiés et ayant une réelle expertise au niveau de la sécurité des données, c’est essentiel pour s’assurer que vos données et celles des citoyens soient entre de bonnes mains.
SecNumCloud et l’hybridation : la preuve par l’image
Comprendre les subtilités techniques d’une infrastructure sécurisée et certifiée n’est pas toujours simple. Pour conclure cet article, nous laissons la parole (et le crayon) à Aryana Peze, SRE chez Numspot.
À travers cette nouvelle bande dessinée, Aryana illustre avec beaucoup de clarté le positionnement unique de Numspot : un « parfait entre-deux » qui allie la souplesse du cloud et la sécurité d’une maison individuelle parfaitement isolée.
Découvrez comment concilier environnement SecNumCloud, besoins d’hybridation et services managés à la demande pour simplifier votre mise en conformité sans brider votre innovation.
Pour aller plus loin, Numspot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
