01 octobre 2022 Cloud Sécurité informatique
SecNumCloud : Tout savoir sur cette certification

SecNumCloud : Tout savoir sur cette certification

SecNumCloud, pourquoi cette certification est aujourd’hui indispensable pour bon nombre d’entreprises et d’administrations ? Dans un écosystème où les données sont de plus en plus menacées, SecNumCloud se donne pour mission « de promouvoir, enrichir et améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information ». Concrètement, qu’est-ce que la certification SecNumCloud ? Qu’implique-t-elle ? A qui s’adresse-t-elle ? Quels sont ses avantages ? Découvrez dans cet article très complet tout ce qu’il faut savoir sur la certification SecNumCloud.

Sommaire


SecNumCloud est-elle un énième gadget de communication politique ou un vrai gage de sérieux en matière de cloud ? Depuis que Bruno Le Maire, Ministre de l’Économie, des Finances et de la Souveraineté Industrielle et Numérique, a évoqué la possible obligation des éditeurs de logiciels à posséder la certification SecNumCloud, ce label est au cœur des discussions. Découvrez tout ce qu’il faut savoir sur la certification SecNumCloud ; ses enjeux, ses spécificités, ses avantages et bien sûr, son coût pour les entreprises clientes.

SecNumCloud : la définition

SecNumCloud est devenue une certification incontournable de l’écosystème cloud français pour garantir un niveau de sécurité maximal et la souveraineté des données numériques. Mais quels sont concrètement ses champs d’applications et les garanties qu’elle fournit ?

Comprendre la certification et son historique

SecNumCloud est une certification qui s’appuie sur un référentiel d’exigences qui a pour objectif de réguler l’activité du cloud computing en France. La certification vise les « prestataires de services d’informatique en nuage » et s’applique à tous les niveaux d’activités de leur offre : Saas (Software as a Service), Paas (Plateform as a Service), Caas (Content as a Service) ou encore Iaas (Infrastructure as a Service). La certification SecNumCloud repose sur un cahier des charges strict qui permet aux fournisseurs d’intégrer un cercle restreint de prestataires attesté par l’État et qui offre aux usagers un niveau de sécurité élevé. SecNumCloud agit à travers cinq niveaux : la sécurité, la maîtrise, la conformité, l’expertise et la continuité. Sa durée de validité est de trois ans renouvelable durant lesquels le prestataire est conditionné par le respect de ses engagements.

Comprenez : cette certification n’est pas donnée à tout le monde et se veut particulièrement exigeante. Pour vous en convaincre totalement, vous pouvez éplucher les 55 pages de ce document (assez technique et quelque peu indigeste) publié par l’ANSSI : Prestataires de services d’informatique en nuage (SecNumCloud) – référentiel d’exigences – Version 3.2 du 8 mars 2022 ». Sinon, vous pouvez tout à fait poursuivre la lecture de cet article. Ainsi, vous repartirez expert de la notion de SecNumCloud ! (Lien du référentiel : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud-referentiel-exigences-v3.2.pdf)



Qu’est-ce que l’ANSSI, l’agence qui délivre la certification SecNumCloud

La qualification SecNumCloud a été instaurée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), la plus haute autorité française en charge des questions liées à la cybersécurité. Dans le cadre de ses missions, elle a élaboré le référentiel SecNumCloud pour attester du niveau de sécurité élevé des prestataires de services informatiques du cloud sur l’ensemble du territoire national. En raison de la multiplication des services cloud et de la divergence des pratiques d’hébergement de données, la certification impose notamment à ses détenteurs le respect des lois françaises et européennes en matière de cybersécurité et de cloud pour assurer une protection maximale des données.



Les spécificités de SecNumCloud

SecNumCloud qui émane donc d’une organisation des services publics français, s’appuie également sur la norme internationale ISO 27001, qui encadre les bonnes pratiques en matière de système de gestion de la sécurité de l’information. La qualification repose ainsi sur un niveau d’exigence supplémentaire. Cela qui permet de fournir aux utilisateurs finaux des garanties poussées concernant l’hébergement de leurs données. L’ANSSI définit SecNumCloud comme étant un « visa de sécurité » en raison de sa granulométrie élevée. Cela atteste de sa conformité vis-à-vis des institutions publiques et privées. En résumé, SecNumCloud permet d’asseoir l’expertise des solutions made in France en matière de gestion de données dans le cloud et de renforcer la souveraineté numérique française.

Ses avantages 

La certification de l’ANSSI comporte des avantages non négligeables pour les acteurs privés ou public à la recherche d’une solution cloud, ce qui peut faire pencher la balance lors de leur choix pour l’externalisation de leurs données numériques.

La sécurité

Vous l’aurez compris, le label SecNumCloud permet d’attester que ses détenteurs mettent en place tout un processus rigoureux en termes de gestion de données dans le cloud. Ces efforts de la part des prestataires est un vrai gage de sécurité, audités et approuvés par la plus haute autorité française en matière de cybersécurité. La sécurité est le pilier majeur et central du label qui a la volonté de légiférer sur les pratiques des cloud provider en France pour atteindre une expertise nationale homogène sur tout le territoire. Grâce à SecNumCloud, l’ANSSI souhaite garantir pour les utilisateurs finaux un niveau de sécurité optimal.

La souveraineté

La souveraineté des données et le cloud sont 100% compatibles. La mission de l’ANSSI est de soumettre tous les cloud provider français aux législations françaises et européennes en termes de gestion des données numériques et de valoriser des solutions sûres qui respectent un bon nombre de fondements dictés par l’État. De plus, SecNumCloud s’appuie sur les principes du RGPD qui protège les données stockées sur le territoire européen et leur accès. N’ayez donc aucune crainte, passer par un prestataire certifié SecNumCloud c’est l’assurance d’avoir la maîtrise sur ses données et de savoir où elles sont stockées en tout transparence.

La réversibilité

Passer par un service de cloud computing certifié SecNumCloud pour l’hébergement de vos données ne vous engage pas ad vitam æternam! Une fois tous vos documents stockés, il est tout à fait possible de revenir en arrière et de repasser sur un système stockage de fichiers via un serveur interne par exemple. La souscription à une offre auprès d’un prestataire de service est absolument réversible et sans engagement. Vous pouvez donc souscrire à un cloud provider certifié SecNumCloud en toute tranquillité pour voir si cela correspond à votre organisation.

Mais attention... 

Bien que la certification SecNumCloud comporte de nombreux avantages, il y a tout de même un point sur lequel il faut être vigilant. En effet, certaines offres cloud peuvent être certifiées par l’ANSSI mais il existe des prestataires qui abusent de cette homologation. En effet, quelques cloud provider mettent en avant le label SecNumCloud sur plusieurs de leurs abonnements malgré qu’ils ne soient pas tous référencés. Pour être sur de faire appel à un produit ou service labellisé SecNumCloud il suffit de se rendre sur le site de l’ANSSI qui a listé tous les produits et services cloud qualifiés ou en cours de qualification. De cette façon vous serez assuré que le prestataire respecte le cahier des charges SecNumCloud. (Lien : https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/ )

À qui s’adresse cette certification ? 

Vous l’aurez compris, SecNumCloud s’adresse aux prestataires de services informatiques sur tous les niveaux de leurs activités pour qu’ils disposent d’un cadre stable dans lequel exercer. Mais à qui est distribué le service final labellisé SecNumCloud ? Les produits estampillés SecNumCloud sont conçus pour les organisations, publiques comme privées, qui ont à cœur de faire appel à un service de qualité, souverain, sécurisé. Aussi, les solutions certifiées SecNumCloud permettent en un haut degré de réversibilité. Ce concept signifie tout simplement qu’une organisation cliente peut changer de prestataire simplement et qu’ainsi, les données sont facilement accessibles et transférables sur un autre service.

Les entités publiques

SecNumCloud constitue pour les cloud provider une porte d’entrée vers les clients-cibles du secteur public. En effet, les acteurs publics ont pour obligation de faire appel à des prestataires référencés par l’État et ses services annexes. C’est en ce sens que l’ANSSI a développé la certification SecNumCloud, offrant ainsi aux organisations et services publics des solutions d’hébergement et de stockage de données dans le Cloud certifiés par l’État lui-même. La qualification SecNumCloud est donc un gage de sécurité pour cette cible et un critère de choix des intermédiaires de confiance dans la gestion de leurs informations personnelles.

Les opérateurs d’importance vitale (OIV)

Les OIV sont des organisations identifiées et définies par l’État français comme ayant des activités qui participent de façon vitale et indispensable au fonctionnement de l’économie. Ces organisations sont réparties à travers quatre groupes d’activité* : humaine, régalienne, économique et technologique. En raison de leur importance capitale, ces opérateurs font partie du plan de sécurité d’opérateur d’importance vitale (PSO) qui leur impose une politique stricte en termes de sécurité. La cybersécurité est un des fondements de ce plan et oblige les OIV, par le biais de l’ANSSI, à faire appel à des prestataires qualifiés pour le stockage de leurs données. Les OIV sont donc des destinataires direct de la certification SecNumCloud.

Secteur d’activité des OIV : Santé, transport, gestion de l’eau, industrie, énergie, finances, communications, activité militaire, activité civile de l’état, activité judiciaire, alimentation, espace et recherche.*

Les opérateurs de services essentiels (OSE)

Les OSE sont, quant à eux, défini par l’ANSSI comme étant tributaire des réseaux ou systèmes d’information ayant un impact essentiel sur le fonctionnement de l’économie. Ils sont soumis aux mêmes obligations que les OIV et doivent faire appel à des prestataires de confiance pour l’hébergement de leurs données dans le cloud. Les OSE, constituent au même titre que les OIV des cibles principales du label SecNumCloud.

Les autres acteurs privés 

Les entreprises privées sont elles aussi confrontées aux nombreuses menaces liées à la cybersécurité, notamment en ce qui concerne la gestion des données sensibles et confidentielles. C’est pour cela qu’elles tendent de plus à plus à se tourner vers des prestataires qui justifient du niveau le plus élevé en matière de cybersécurité pour se prémunir des attaques et autres violations. Ces entreprises – et de ce fait les utilisateurs finaux de solutions cloud – sont de plus en plus soucieuses du traitement des données et tentent peu à peu de s’éloigner des géants du numérique opaques sur ces sujets.

À quel prix 

Un cloud provider certifié SecNumCloud est un produit premium, face à une multitude d’offres bon marché, mais non-souveraine, peu sécurisée et dont la réversibilité est particulièrement complexe. Forcément, ce très haut niveau de sécurité à un coût. Mais la rentabilité est vite là !

Un investissement certain... 

La plupart des prestataires Cloud certifiés par l’ANSSI proposent des offres spécifiques qualifiées SecNumCloud qui sont plus chères que leurs offres initiales. On peut noter en moyenne une augmentation de tarif sur ces offres du fait de l’investissement supplémentaire qu’elles demandent. Elles représentent donc pour les utilisateurs finaux un budget plus important pour équiper leurs organisations d’une solution d’hébergement et de stockage de données dans le cloud. Ce surcoût est notamment dû à la mise en conformité des infrastructures et des processus internes pour respecter le cahier des charges strict SecNumCloud. En effet, l’ANSSI demande aux détenteurs de la certification des exigences importantes sur l’intégralité de leur chaîne de production : gestion du risque, sécurité des ressources humaines, gestion des actifs, cryptologie, sécurité physique et environnementale, conformité, gestion des incidents, etc.

Choisir une solution SecNumCloud est très vite rentable 

Bien que ce type de service soit plus coûteux pour les clients, les garanties sont en revanche bien plus poussées. Le label SecNumCloud permet d’assurer aux usagers un niveau de sécurité quasi-absolu dans la protection de leurs ressources numériques. Ces abonnements estampillés SecNumCloud deviennent alors très rentables quand on sait qu’ils permettent d’éviter des cyber menaces de tous types. Car vous le savez, dans bien des cas, ces attaques informatique causent des pertes importantes pour les entreprises. Le fait que le label SecNumCloud possède le plus haut niveau de sécurité et qu’il soit validé par l’État (via l’ANSSI) en fait une solution ultra complète et sécurisée qui convient à tout type d’organisation traitant des données sensibles ou non. La rentabilité et la sérénité offerte par ce type de solution est énorme. Sachez qu’en 2021, le coût moyen d’une violation de données en France est estimé à quatre millions d’euros par le groupe international d’assurance Hiscox.

À vous de choisir

Vous l’aurez compris, les avantages de SecNumCloud sont multiples. Le chemin vers l’obtention de la certification est comparable au parcours du combattant pour les cloud provider, mais c’est en cela qu’elle est un véritable témoin de la confiance que l’on peut accorder aux prestataires de services informatique certifié SecNumCloud. Dans les mois à venir, elle deviendra sans nul doutes la norme chez les solutions françaises. Dans un avenir proche, elle visera peut-être à s’étendre au territoire européen. Pour renforcer la souveraineté du cloud et arrêter de dépendre des GAFAM, il est préférable de se tourner vers des services qualifiés et ayant une réelle expertise au niveau de la sécurité des données.


Ces sujets sur les certifications peuvent vous intéresser

cible
Testez gratuitement en quelques clics Créer votre plateforme et découvrez NetExplorer

Les derniers articles de la catégorie : Cloud

NetExplorer, nouveau membre de l’association Hexatrust

NetExplorer, nouveau membre de l’association Hexatrust

En novembre 2022 NetExplorer intègre Hexatrust, l’entité française de référ...
Pourquoi la gestion des données est-elle fondamentale ?

Pourquoi la gestion des données est-elle fondamentale ?

La gestion des données ou data management est une discipline qui vise à val...
MDPH : hébergez et sécurisez vos données de santé

MDPH : hébergez et sécurisez vos données de santé

Le secteur de la santé est l'un des domaines les plus sensibles aux attaque...