Dans un contexte de migration des entreprises vers le cloud et d’augmentation exponentielle des cyber-risques, la sécurité offerte par les prestataires de services « en nuage » est devenue un enjeu majeur. Comment s’assurer de trouver un opérateur offrant toutes les garanties de sécurité relatives aux données, aux applications et aux systèmes ? C’est ce que permet de faire le label SecNumCloud, élaboré par l’ANSSI pour distinguer les acteurs respectueux des bonnes pratiques en matière de sécurité. À l’occasion du lancement de la version 3.2 du référentiel, adaptée spécifiquement à la notion de « cloud de confiance » et aux risques afférents aux lois extraterritoriales, nous vous proposons de revenir sur la (jeune) histoire de SecNumCloud et sur ses enjeux.
C’est quoi, SecNumCloud ?
Élaboré par l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) à partir de 2013, lancé officiellement en 2016, le référentiel SecNumCloud est un visa permettant de qualifier les prestataires de services dans le cloud.
Ce label vise à « promouvoir, enrichir et améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information », comme l’explique l’Agence sur son site web. Les opérateurs visés sont ceux qui proposent des services en SaaS (Software as a Service), en PaaS (Platform as a Service), en IaaS (Infrastructure as a Service), et désormais en CaaS (Containers as a Service) depuis leur adjonction au référentiel dans sa version 3.2.
Pour l’ANSSI, l’objectif est de fournir aux entreprises et aux institutions un moyen concret de sélectionner les prestataires respectant les meilleures pratiques en matière de sécurité informatique.
La genèse de SecNumCloud
À l’origine du référentiel SecNumCloud, il y a l’engagement de l’ANSSI de produire un document destiné aux acteurs du cloud computing. Une version de travail (1.3) est présentée en juillet 2014 avec appel à commentaires, puis une seconde version (la 2.0) voit le jour en mars 2015, utilisée dans le cadre d’une procédure expérimentale.
Dès le départ, Oodrive est intimement associé à l’élaboration du référentiel aux côtés de l’ANSSI, et apporte sa pierre à l’édifice en vertu de son expertise.
La première version officielle de SecNumCloud (3.0) est lancée en décembre 2016. Parmi les exigences de sécurité édictées par l’Agence, imposées aux fournisseurs de services cloud candidats à la qualification – et qui sont autant de mesures de sécurité à mettre en œuvre –, on retrouve, entre autres : la gestion des actifs, le contrôle des accès et la gestion des identités, la cryptologie, les politiques de sécurité et de gestion du risque, l’organisation de la sécurité de l’information, etc.
Qui est concerné par ce référentiel ?
Tous les services cloud peuvent prétendre à la qualification SecNumCloud et au visa ANSSI qui l’accompagne : il faut, pour cela, démontrer le respect des exigences du référentiel et l’application des bonnes pratiques imposées. Le processus de qualification porte sur une offre spécifique – en SaaS, PaaS, IaaS ou CaaS – et sur des aspects variés. Une fois obtenue, la qualification est valable trois ans, période pendant laquelle des audits annuels permettent de s’assurer que les processus internes restent à la hauteur des exigences.
Pour les opérateurs cloud, le label SecNumCloud s’apparente à une recommandation émise par l’État français : c’est une façon de signifier que tel ou tel acteur de l’informatique « en nuage » satisfait aux plus hautes exigences de sécurité. Les acteurs qualifiés sont également susceptibles d’être utilisés par les services de l’État. Mais l’obtention de la qualification est surtout une manière, pour les clients de ces prestataires, d’identifier les services cloud les plus aptes à garantir la sécurité de leurs données.
Un référentiel évolutif
La première version officielle de SecNumCloud, présentée en 2016, s’appuyait largement sur la norme ISO 27001, qui récapitule les bonnes pratiques en matière de management de la sécurité de l’information, mais en allant plus loin et en ajoutant des exigences propres aux acteurs du cloud. Cette version initiale distinguait deux niveaux de garanties :
- Un niveau « essentiel » qui attestait de la capacité du prestataire à traiter les données non critiques pour le compte de son client.
- Un niveau « avancé » qui témoignait de l’aptitude de l’opérateur à manipuler des données critiques.
En 2018, une version 3.1 voyait le jour dans la foulée de l’entrée en vigueur du RGPD (Règlement général sur la protection des données – applicable au niveau européen). Cette mise à jour tenait compte de la nécessité, pour les acteurs du cloud, de se mettre en conformité avec le règlement.
Enfin, la version la plus récente, publiée en mars 2022, intègre l’exigence de garantir la protection des données traitées vis-à-vis des législations non-européennes à portée extraterritoriale. Cette version 3.2 est bien plus qu’une banale actualisation : elle implique que les opérateurs dont le siège social est établi hors de l’Union européenne, ou dont l’actionnariat est majoritairement non européen, ne sont plus éligibles à la qualification. Le référentiel précise aussi comment les prestataires peuvent s’organiser pour se placer hors d’atteinte des lois extraterritoriales, américaines et chinoises en premier lieu, mais pas exclusivement.
SecNumCloud aujourd’hui : un état des lieux
La qualification SecNumCloud s’est progressivement imposée dans l’écosystème du cloud computing, en vertu de la rigueur de ses exigences et de la qualité des services apportés par les acteurs qualifiés. Ceux-ci offrent à leurs clients un panel de garanties solides en matière de sécurité des systèmes informatiques :
- sécurité avancée en interne et auprès des partenaires externes ;
- maîtrise des risques dans la gestion des données sensibles ;
- conformité avec les exigences du cadre légal ;
- expertise permettant aux clients d’exploiter au mieux leurs données sensibles ;
- continuité de l’activité de l’entreprise en cas de perte ou de vol des données, de sinistre, etc.
Les acteurs qui affichent le label SecNumCloud ne sont d’ailleurs que peu nombreux. En ce qui concerne les fournisseurs d’informatique « en nuage », seules cinq entreprises en bénéficient aujourd’hui : Oodrive, Cloud Temple, Outscale, OVH et Worldline.
Il faut noter qu’Oodrive a été le premier acteur à obtenir la qualification SecNumCloud ainsi que le visa de sécurité ANSSI en 2019, une distinction qui concernait l’ensemble de ses offres de cloud privé. Sa qualification a été renouvelée en 2022. Aujourd’hui, c’est le seul éditeur à proposer des solutions SaaS qualifiées SecNumCloud pour protéger les données sensibles des entreprises, des administrations et des OIV/OSE.
Une chose est certaine : le référentiel SecNumCloud ne s’arrêtera pas à sa version actuelle, mais évoluera au gré de l’accroissement des besoins en cloud computing, de la hausse des risques cyber, et des changements légaux. Mieux encore, ce référentiel servira de socle à la construction du futur schéma de certification européen, en application du Cybersecurity Act de 2019, et en particulier à l’élaboration de son niveau de garantie le plus élevé. Ce qui place la France à la pointe du travail sur l’harmonisation des mécanismes d’évaluation des prestataires de cloud au niveau européen.