Qu'est-ce que le référentiel SecNumCloud mis en place par l'ANSSI ?

Qu'est-ce que le référentiel SecNumCloud mis en place par l'ANSSI ?
30 octobre 2020
Publié par Équipe NetExplorer

Les entreprises sont de plus en plus nombreuses à adopter les services cloud. Mais auparavant, elles ne disposaient pas d'un référentiel pour faire le meilleur choix. C'est désormais chose faite. L'Agence Nationale de Sécurité des Systèmes d'information (ANSSI) a mis en place le référentiel SecNumCloud. Il s'agit d'une qualification permettant d'évaluer le niveau de sécurité proposé par les fournisseurs CSP (Cloud Service Provider). Mais quelles sont les garanties apportées par ce référentiel ? Et quelle est la différence entre une offre cloud classique et une offre qualifiée SecNumCloud ? Les réponses dans cet article.

Petit rappel du Cloud Computing

Le Cloud Computing consiste à faire appel à un prestataire extérieur pour stocker ses données et accéder à des ressources et services. Tout se fait en ligne. Cela signifie notamment que vos données ne sont pas stockées au sein de vos ordinateurs et de vos locaux mais sur des serveurs à distance et vous pouvez y accéder avec internet.

La gestion et la maintenance de vos fichiers sont déléguées à ce prestataire, ce qui vous permet de vous alléger d'une tâche chronophage. Cette solution apporte de nombreux avantages : maîtrise des coûts, flexibilité, rapidité, facilité d'utilisation, etc.

Cependant, la question de la sécurité et de la confidentialité des données reste une source d'inquiétude majeure pour les entreprises, ce qui est bien normal lorsqu'on sait que 42 % d'entre elles ont été victimes d'un logiciel malveillant de chiffrement dans le monde entier en 2018.

cloud données


Un référentiel pour garantir la fiabilité des solutions cloud

Certaines entreprises hésitent encore à externaliser tout ou une partie de leurs données. Et pour cause, elles appréhendent la fiabilité des solutions cloud sur le marché. Elles hésitent ainsi encore à héberger leurs données sur des datacenters administrés par un tiers.

Le référentiel SecNumCloud apporte une garantie quant à la fiabilité d'une solution de cloud computing. Elle atteste la conformité de cette dernière vis-à-vis des recommandations de l'ANSSI. Les entreprises peuvent ainsi identifier plus facilement les solutions les plus fiables, ce qui est devenu essentiel face à la recrudescence des cyberattaques de plus en plus complexes.

L'ANSSI a par ailleurs affirmé que les qualifications qu'elle délivre n'étaient pas de « simples labels de complaisance ». C'est l'État lui-même qui s'engage sur la qualité des prestataires. Pour mettre en place ce référentiel, l'organisme a formé un groupe de travail composé de 9 acteurs du secteur du Cloud Computing, afin de mettre en place une certification très exigeante.

À qui s'adresse le référentiel ?

La qualification concerne les prestataires spécialisés dans la fourniture de services de cloud computing, qu'il s'agisse de :

  • services Saas (Software as a service), correspondant aux logiciels et applications utilisés par l'entreprise (logiciels de gestion, messagerie…) mais qui sont hébergés sur une plateforme externalisée. C'est le prestataire qui gère les aspects techniques, mais l'entreprise peut réaliser des paramétrages ;
  • services PaaS (Platform as a service), qui s'adressent aux entreprises de développement web. Le but est de leur fournir un environnement optimal pour réaliser tout le processus de développement, de la conception au déploiement, en passant par la gestion et les mises à jour ;
  • services IaaS (Infrastructure as a service), servant à fournir à une entreprise des ressources informatiques externalisées (serveurs, stockages, mémoire, réseaux…) pour qu'elle puisse gérer ses systèmes d'exploitation, logiciels, etc. Le prestataire s'occupe alors de la maintenance.

Le référentiel SecNumCloud peut être obtenu pour une durée de trois ans. Il est ensuite obligatoire de mettre en place des audits de surveillance tous les 18 mois.

Les avantages apportés par la qualification

Les entreprises qui optent pour une solution non certifiée s'exposent à des nombreux risques : fuite de données confidentielles, la perte ou l'indisponibilité de son système d'information, etc. Opter pour un service certifié SecNumCloud permet de profiter de plusieurs garanties :

  • Un niveau de sécurité supérieur ;
  • Une détection des incidents en temps réel pour en limiter au maximum les conséquences ;
  • Des données chiffrées et cloisonnées ;
  • La mise en œuvre de moyens visant à minimiser les risques de sinistres, comme les incendies ou les dégâts des eaux… ;
  • Un contrôle d'accès et une gestion des identités renforcés ;
  • Le durcissement de la sécurité physique avec la mise en place de zones privées contrôlées ;
  • La conformité aux exigences du RGPD (règlement général sur la protection des données)
  • Etc.

Opter pour une solution certifiée est essentiel pour toutes les entreprises manipulant des données sensibles. Elle est aussi recommandée pour les opérateurs d'importance vitale (OIV) et pour les organismes d'État devant se soumettre à des règles de confidentialité très strictes.

Le SecNumCloud s'appuie sur la norme ISO 27001, en reprenant 75 % de celle-ci. Mais il se veut aussi plus précis en prenant en compte tous les aspects du cloud pour une sécurité optimale à tous les niveaux : technique, physique, organisationnel et contractuel.

sécurité cloud


Une barrière efficace contre le Cloud Act

Le référentiel SecNumCloud vise à encourager les entreprises à adopter un Cloud français sécurisé pour se protéger contre des textes comme le Cloud Act. Pour rappel, cette loi américaine donne au gouvernement états-unien le droit d'accéder aux données gérées par les acteurs américains du cloud.

Les fichiers sont stockés sur des serveurs situés en France et sont donc soumis à la législation française. Ils ne peuvent être consultés par le gouvernement sans autorisation préalable, ce qui n'est pas le cas pour les données situées sur le sol américain ou gérées par des prestataires américains et qui sont soumis au Cloud Act.

NetExplorer et la certification SecNumCloud

NetExplorer met la protection des données de ses clients au cœur de ses priorités. Nous sommes ainsi à l'étude du référentiel SecNumCloud en vue d'être qualifiés par l'ANSSI.

Pour rappel, NetExplorer est également certifiée ISO 27001 pour la sécurité des données, ISO 9001 pour la qualité et ISO 14001 pour l'environnement. Elle dispose également de la certification HDS (Hébergeur de Données de Santé), lui permettant de stocker et traiter des données de santé à caractère personnel. Notre entreprise applique également la norme PCI DSS, issue du secteur bancaire, pour le stockage de cette typologie de données.

Vous optez ainsi pour des solutions hautement sécurisées.

Partager cet article :

Nous utilisons les cookies pour personnaliser le contenu et analyser notre trafic. Veuillez décider quel type de cookies vous êtes prêt à accepter.