Qu’est-ce que le référentiel SecNumCloud mis en place par l’ANSSI ?

Les entreprises sont de plus en plus nombreuses à adopter les services cloud. Mais auparavant, elles ne disposaient pas d’un référentiel pour faire le meilleur choix. C’est désormais chose faite. L’Agence Nationale de Sécurité des Systèmes d’information (ANSSI) a mis en place le référentiel

Les entreprises sont de plus en plus nombreuses à adopter les services cloud. Mais auparavant, elles ne disposaient pas d’un référentiel pour faire le meilleur choix. C’est désormais chose faite. L’Agence Nationale de Sécurité des Systèmes d’information (ANSSI) a mis en place le référentiel SecNumCloud. Il s’agit d’une qualification permettant d’évaluer le niveau de sécurité proposé par les fournisseurs CSP (Cloud Service Provider). Mais quelles sont les garanties apportées par ce référentiel ? Et quelle est la différence entre une offre cloud classique et une offre qualifiée SecNumCloud ? Les réponses dans cet article.

Petit rappel du Cloud Computing

Le Cloud Computing consiste à faire appel à un prestataire extérieur pour stocker ses données et accéder à des ressources et services. Tout se fait en ligne. Cela signifie notamment que vos données ne sont pas stockées au sein de vos ordinateurs et de vos locaux mais sur des serveurs à distance et vous pouvez y accéder avec internet.

La gestion et la maintenance de vos fichiers sont déléguées à ce prestataire, ce qui vous permet de vous alléger d’une tâche chronophage. Cette solution apporte de nombreux avantages : maîtrise des coûts, flexibilité, rapidité, facilité d’utilisation, etc.

Cependant, la question de la sécurité et de la confidentialité des données reste une source d’inquiétude majeure pour les entreprises, ce qui est bien normal lorsqu’on sait que 42 % d’entre elles ont été victimes d’un logiciel malveillant de chiffrement dans le monde entier en 2018.

cloud données

Un référentiel pour garantir la fiabilité des solutions cloud

Certaines entreprises hésitent encore à externaliser tout ou une partie de leurs données. Et pour cause, elles appréhendent la fiabilité des solutions cloud sur le marché. Elles hésitent ainsi encore à héberger leurs données sur des datacenters administrés par un tiers.

Le référentiel SecNumCloud apporte une garantie quant à la fiabilité d’une solution de cloud computing. Elle atteste la conformité de cette dernière vis-à-vis des recommandations de l’ANSSI. Les entreprises peuvent ainsi identifier plus facilement les solutions les plus fiables, ce qui est devenu essentiel face à la recrudescence des cyberattaques de plus en plus complexes.

L’ANSSI a par ailleurs affirmé que les qualifications qu’elle délivre n’étaient pas de « simples labels de complaisance ». C’est l’État lui-même qui s’engage sur la qualité des prestataires. Pour mettre en place ce référentiel, l’organisme a formé un groupe de travail composé de 9 acteurs du secteur du Cloud Computing, afin de mettre en place une certification très exigeante.

À qui s’adresse le référentiel ?

La qualification concerne les prestataires spécialisés dans la fourniture de services de cloud computing, qu’il s’agisse de :

  • services Saas (Software as a service), correspondant aux logiciels et applications utilisés par l’entreprise (logiciels de gestion, messagerie…) mais qui sont hébergés sur une plateforme externalisée. C’est le prestataire qui gère les aspects techniques, mais l’entreprise peut réaliser des paramétrages ;
  • services PaaS (Platform as a service), qui s’adressent aux entreprises de développement web. Le but est de leur fournir un environnement optimal pour réaliser tout le processus de développement, de la conception au déploiement, en passant par la gestion et les mises à jour ;
  • services IaaS (Infrastructure as a service), servant à fournir à une entreprise des ressources informatiques externalisées (serveurs, stockages, mémoire, réseaux…) pour qu’elle puisse gérer ses systèmes d’exploitation, logiciels, etc. Le prestataire s’occupe alors de la maintenance.

Le référentiel SecNumCloud peut être obtenu pour une durée de trois ans. Il est ensuite obligatoire de mettre en place des audits de surveillance tous les 18 mois.

Les avantages apportés par la qualification

Les entreprises qui optent pour une solution non certifiée s’exposent à des nombreux risques : fuite de données confidentielles, la perte ou l’indisponibilité de son système d’information, etc. Opter pour un service certifié SecNumCloud permet de profiter de plusieurs garanties :

  • Un niveau de sécurité supérieur ;
  • Une détection des incidents en temps réel pour en limiter au maximum les conséquences ;
  • Des données chiffrées et cloisonnées ;
  • La mise en œuvre de moyens visant à minimiser les risques de sinistres, comme les incendies ou les dégâts des eaux… ;
  • Un contrôle d’accès et une gestion des identités renforcés ;
  • Le durcissement de la sécurité physique avec la mise en place de zones privées contrôlées ;
  • La conformité aux exigences du RGPD (règlement général sur la protection des données)
  • Etc.

Opter pour une solution certifiée est essentiel pour toutes les entreprises manipulant des données sensibles. Elle est aussi recommandée pour les opérateurs d’importance vitale (OIV) et pour les organismes d’État devant se soumettre à des règles de confidentialité très strictes.

Le SecNumCloud s’appuie sur la norme ISO 27001, en reprenant 75 % de celle-ci. Mais il se veut aussi plus précis en prenant en compte tous les aspects du cloud pour une sécurité optimale à tous les niveaux : technique, physique, organisationnel et contractuel.

sécurité cloud

Une barrière efficace contre le Cloud Act

Le référentiel SecNumCloud vise à encourager les entreprises à adopter un Cloud français sécurisé pour se protéger contre des textes comme le Cloud Act. Pour rappel, cette loi américaine donne au gouvernement états-unien le droit d’accéder aux données gérées par les acteurs américains du cloud.

Les fichiers sont stockés sur des serveurs situés en France et sont donc soumis à la législation française. Ils ne peuvent être consultés par le gouvernement sans autorisation préalable, ce qui n’est pas le cas pour les données situées sur le sol américain ou gérées par des prestataires américains et qui sont soumis au Cloud Act.

NetExplorer et la certification SecNumCloud

NetExplorer met la protection des données de ses clients au cœur de ses priorités. Nous sommes ainsi à l’étude du référentiel SecNumCloud en vue d’être qualifiés par l’ANSSI.

Pour rappel, NetExplorer est également certifiée ISO 27001 pour la sécurité des données, ISO 9001 pour la qualité et ISO 14001 pour l’environnement. Elle dispose également de la certification HDS (Hébergeur de Données de Santé), lui permettant de stocker et traiter des données de santé à caractère personnel. Notre entreprise applique également la norme PCI DSS, issue du secteur bancaire, pour le stockage de cette typologie de données.

Vous optez ainsi pour des solutions hautement sécurisées.

SOMMAIRE

Newsletter netexplorer

Vous aimez les chroniques ?

Nous oui et on vous partage nos dernières actus tous les mois !

Application NetExplorer : La collaboration mobile sécurisée, partout et à tout moment

Application NetExplorer : La collaboration mobile sécurisée

La mobilité est au cœur de toutes les activités professionnelles, il est essentiel que votre solution de partage et de stockage de fichiers soit aussi flexible que vous.
cloud professionnels

6 avantages du cloud computing pour les organisations

Comment créer et partager un modèle de document ?

Comment créer et partager un modèle de document ?

Cloud Act : origines, risques et alternatives pour les entreprises européennes

Cloud Act : risques et alternatives pour les entreprises européennes

Choisir une alternative à WeTransfer pour le partage sécurisé de vos fichiers

Service certifié HDS : comment s’assurer de leur conformité ?

6 conseils pour éviter le vol de données

être une entreprise éco-responsable en 2024

Être une entreprise éco-responsable en 2024

Cloud certifié HDS pour les CHU

Cloud certifié HDS : 5 raisons pour les CHU de choisir NetExplorer

SantExpo 2024

SantExpo 2024 : tout ce qu’il faut savoir

Cyberdéfense, le programme des actions 2030

Cyberdéfense : 3 aides financières pour les PME et ETI

La gestion documentaire de LEITNER France avec NetExplorer

Ransomwares en 2024 : que faire en cas d'attaques

Ransomwares en 2024 : que faire en cas d’attaque

Les attaques par ransomwares ne cessent de se multiplier. En 2023, elles ont connu une augmentation significative de 30 % par rapport à l'année précédente.
Renforcer sa résilience en cybersécurité

Renforcer sa résilience face aux cyberattaques

Sélectionnez l’espace de connexion qui vous convient