Les questions de sécurité et de souveraineté du cloud – portées par le concept de « cloud de confiance » – constituent désormais des préoccupations majeures.
L’État a fait du cloud l’hébergement par défaut des services numériques de l’État dans le cadre de sa doctrine « cloud au centre ».
L’Union européenne travaille actuellement sur l’élaboration d’une certification cloud à l’échelle européenne.
Dans un contexte où les organisations ont de plus en plus recours au cloud, il devient crucial pour elles de pouvoir distinguer les offres présentant le plus haut niveau de sécurité pour leurs données.
C’est justement tout l’enjeu de « SecNumCloud », un référentiel élaboré par l’ANSSI. Le visa distingue les solutions cloud les plus exigeantes en matière de sécurité et de souveraineté.
Alors que très peu de prestataires parviennent à obtenir la précieuse qualification, Oodrive a été la première entreprise à voir l’une de ses offres qualifiée SecNumCloud en 2019. Trois de ses offres SaaS bénéficient désormais du visa SecNumCloud.
Qu’est-ce que SecNumCloud ? Quels sont ses enjeux et ses exigences ? Quels sont les services qualifiés SecNumCloud et comment le devenir ? Oodrive fait le point sur les offres qualifiées SecNumCloud par l’ANSSI.
SecNumCloud, un label de confiance cloud délivré par l’ANSSI
SecNumCloud est un référentiel élaboré par l’Agence Nationale de la Sécurité des Systèmes d’Information.
Il s’adresse à tous les fournisseurs de services cloud soucieux de démontrer la sécurité et la souveraineté de leurs offres et infrastructures.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles
Le visa SecNumCloud est délivré par l’ANSSI à des solutions, produits ou services cloud démontrant un niveau élevé de sécurité et de confiance, pour une durée de 3 ans renouvelable.
Différents types de services cloud peuvent être qualifiés :
- SaaS (Software as a Service)
- PaaS (Platform as a Service)
- IaaS (Infrastructure as a Service)
- CaaS (Container as a Service)
Le référentiel SecNumCloud a été élaboré en 2016. Sa version la plus récente est la version 3.2, publiée en mars 2022.
Cette version inclut notamment des critères techniques et juridiques en matière de protection des données vis-à-vis des lois extra-européennes (notamment le Cloud Act).
Le processus de qualification SecNumCloud étant très long, exigeant et engageant, la qualification n’est attribuée qu’à une poignée d’acteurs.
Pourquoi la qualification SecNumCloud est-elle si importante ?
Le recours massif à des solutions cloud par les structures publiques et privées met au premier plan les enjeux de sécurité et de souveraineté.
Le label de confiance de l’ANSSI – le plus exigeant en matière de confiance cloud – répond justement à ces deux préoccupations majeures, en garantissant un haut niveau de sécurité technique et juridique.
La qualification SecNumCloud apporte aux organisations de réelles garanties en matière de confidentialité et de protection des données sensibles. Les entités qui optent pour des offres qualifiées SecNumCloud assurent le plus haut niveau de sécurité à leurs données sensibles.
S’agissant de la souveraineté et de la localisation des données, SecNumCloud impose que les données soient stockées et traitées au sein de l’Union européenne.
Dans le cadre de sa doctrine « cloud au centre », l’État précise d’ailleurs que les structures publiques sont dans l’obligation d’héberger les données « d’une sensibilité particulière » sur des offres cloud qualifiées SecNumCloud.
Le label de l’ANSSI est donc appelé à devenir un standard pour les structures publiques à la recherche de solutions cloud sécurisées et souveraines.
Qui est qualifié SecNumCloud ?
Liste des solutions qualifiées SecNumCloud
En septembre 2024, neuf offres sont actuellement qualifiées SecNumCloud :
- Oodrive (SaaS – Oodrive Work, Oodrive Work Share, Oodrive Meet)
- Cloud Temple (IaaS – Secure Temple, PaaS Red Hat OpenShift)
- Outscale (IaaS – Cloud on Demand)
- OVHCloud (IaaS – Hosted Private Cloud powered by Vmware)
- Whaller (SaaS – Whaller Donjon)
- Wordline (IaaS – Wordline Cloud Services)
Oodrive est la première entreprise à avoir obtenu le visa de l’ANSSI en 2019. Avec trois de ses offres SaaS désormais qualifiées SecNumCloud, Oodrive occupe une place unique sur le marché des solutions cloud de confiance. Sa qualification a été renouvelée en 2022 pour 3 ans et Oodrive est toujours le seul acteur à avoir fait qualifier des solutions SaaS.
Les exigences du référentiel SecNumCloud sont élevées et le processus de qualification est constitué de différentes étapes.
Nombre d’entreprises tentent de se lancer dans une démarche de qualification de leurs offres cloud, mais se heurtent aux difficultés et aux exigences du processus.
Celles-ci annoncent alors « être en route vers la qualification SecNumCloud » et commencent déjà afficher la précieuse qualification dans leurs communications, mais sans l’avoir réellement obtenue.
Oodrive est le premier et le seul acteur à avoir obtenu le visa de l’ANSSI dès 2019 pour des offres SaaS. Trois de ses offres SaaS sont désormais qualifiées.
SecNumCloud, une qualification française qui sert d’étalon à l’échelle européenne
Vers une certification cloud européenne : EUCS
Les questions de sécurité et de souveraineté du cloud dépassent largement le cadre des frontières hexagonales, et deviennent de plus en plus marquées à l’échelle de l’Union européenne.
Les Vingt-Sept cherchent d’ailleurs à se doter d’une certification cloud européenne afin d’harmoniser « par le haut » les exigences en matière de sécurité et de souveraineté du cloud.
La qualification française SecNumCloud fait d’ailleurs figure de modèle dans le cadre de l’élaboration du projet européen de certification cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).
Maintenir les exigences de la qualification SecNumCloud
L’élaboration d’une certification cloud européenne ne fait pas l’unanimité parmi les différents États membres.
Si certains États – la France en tête – s’engagent en faveur d’une protection stricte des données, d’autres sont plus réticents à élaborer un texte qui se monterait trop exigeant sur la question de la souveraineté.
Les acteurs français du cloud de confiance soutiennent donc le projet de certification EUCS, à condition de l’aligner sur les standards et les exigences actuelles de la qualification SecNumCloud.
Maintenir ces exigences permettra de mettre les données européennes hors d’atteinte des lois extraterritoriales et de faire émerger un écosystème cloud de confiance à l’échelle de l’Europe.
Délivrée par l’ANSSI sur la base d’un référentiel exigeant, la qualification SecNumCloud atteste du niveau de sécurité et de confiance des solutions cloud qui l’ont obtenue. Il n’est délivré qu’à une poignée d’offres (huit offres qualifiées SecNumCloud à ce jour).
Actualisé en 2022, le référentiel SecNumCloud intègre désormais des critères en matière d’immunité des données face aux lois extra-européennes. Cette exigence est de nature à renforcer le cloud souverain Europe et prend tout son sens dans le cadre du projet de certification cloud européenne EUCS.