Référentiel ANSSI
SecNumCloud : référentiel ANSSI pour le cloud de confiance
SecNumCloud est un référentiel élaboré par l'ANSSI qui propose un ensemble de règles de sécurité et de bonnes pratiques d'hygiène informatique, permettant de qualifier les offres cloud IaaS, PaaS et SaaS. La qualification permet de reconnaître des offres cloud de confiance dont l'utilisation est préconisée pour la protection des données sensibles. Elle vise en particulier à protéger les données et traitements sensibles face à la menace cybercriminelle et à l'application de lois extraterritoriales.
Origine et périmètre du référentiel
Créé en 2016 par l'ANSSI, le référentiel SecNumCloud permet la qualification de fournisseurs de services cloud pour améliorer l'offre de confiance. Dans sa version 3.2 en vigueur, le référentiel comporte plus de 360 exigences organisées selon 14 thèmes de sécurité, couvrant des mesures techniques (étanchéité des systèmes, cryptographie), opérationnelles (contrôle des accès) et juridiques (protection contre les lois extra-européennes).
Les offres qualifiées obtiennent un Visa de sécurité de l'ANSSI. Le processus de qualification passe par un audit mené par un organisme agréé et une instruction par l'ANSSI, pour une durée totale de 18 à 30 mois ; la qualification reste valable trois ans avec audit de surveillance annuel.
L'obligation stricte d'usage ne concerne que les administrations d'État hébergeant des données sensibles, en application de la doctrine cloud au centre. Pour les entreprises privées, SecNumCloud est une recommandation qui devient de fait un standard pour les secteurs régulés (finance, santé, défense, énergie) et pour les entités essentielles au titre de NIS2.
Lien avec NIS2
SecNumCloud s'intègre désormais dans l'écosystème de la directive NIS2 : les entités essentielles et importantes qui externalisent leurs systèmes d'information critiques y trouvent un moyen direct de démontrer leur conformité aux obligations de mesures techniques et organisationnelles appropriées. La directive NIS2 impose l'obligation pour certains secteurs de recourir à des offres qualifiées SecNumCloud ou équivalent européen.
En pratique, héberger un système d'information critique sur une infrastructure qualifiée SecNumCloud facilite la preuve du respect des mesures de gestion des risques et de la chaîne d'approvisionnement requises par l'article 21 §2 de NIS2. Un prestataire cloud qualifié offre des garanties auditées en matière de sécurité, de continuité et d'immunité juridique, réduisant ainsi la surface d'exposition des entités régulées.