Si la migration des entreprises vers le cloud s’accentue avec la pandémie de Covid-19, le volume des cyberattaques aussi. Dans ce contexte, la sécurité des prestataires de services cloud est devenue un questionnement de premier ordre. Pour répondre à ces inquiétudes, l’Anssi propose de qualifier les prestataires respectant les bonnes pratiques en matière de sécurité grâce au référentiel SecNumCloud, spécialement conçu pour ces problématiques.
Qu’est-ce que SecNumCloud ?
SecNumCloud est une qualification de sécurité proposée par l’Anssi à destination des opérateurs cloud, qui proposent des services en PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou SaaS (Software as a Service). Plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire, l’Anssi propose une “approche centralisée”. Ainsi, un prestataire qualifié SecNumCloud peut prouver que son système respecte les bonnes pratiques énoncées dans le référentiel et que la conformité de son système a été vérifiée par des prestataires d’audit, également approuvés par l’Anssi (les PASSI).
D’où vient SecNumCloud ?
SecNumCloud a été présenté pour la première fois en 2016 et a connu une révision en 2018, aboutissant à sa version actuelle 3.1. Cette qualification est une évolution du label Secure Cloud présenté par l’Anssi en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information, mais ajoute de nouvelles exigences spécifiques aux acteurs cloud.
Qui est concerné ?
Les sociétés pouvant prétendre à la qualification sont des fournisseurs de services cloud qui souhaitent prouver leur respect des bonnes pratiques en matière de sécurité. Le processus de qualification porte sur l’offre spécifique d’une société candidate, qu’elle soit en IaaS, PaaS ou SaaS. Cette qualification est également intéressante pour les entreprises clientes qui cherchent à savoir quel service cloud privilégier pour la sécurité de leurs données. Une qualification correspond à une recommandation d’utilisation de ce service par l’État français, ce qui permet d’être retenu pour une utilisation par certains services de l’État.
Qui sont les prestataires qualifiés ?
La liste complète des prestataires qualifiés est disponible sur le site de l’Anssi. Le document précise la date d’obtention de la qualification ainsi que la date de fin de qualification : la qualification SecNumCloud est obtenue pour une durée de trois ans. Sur le site de l’agence, une liste des candidats à cette qualification est également disponible, bien qu’elle soit partielle. Seuls les candidats ayant choisi d’afficher leur candidature y sont répertoriés.
Et c’est dur ?
Selon les entreprises ayant déjà obtenu la qualification, le processus n’a rien d’une promenade de santé. Outre les bonnes pratiques de sécurité, les exigences de SecNumCloud imposent un important travail de documentation des processus et de segmentation du réseau. Les exigences du référentiel sont nombreuses et touchent à des aspects variés, allant de la sécurité physique des locaux aux personnes habilitées à travailler sur l’offre qualifiée. Les témoignages d’entreprises qualifiées soulignent unanimement que SecNumCloud n’a rien d’évident. Étant partiellement basé sur la norme ISO 27001, une certification de conformité ISO 27001 est une bonne première étape avant d’envisager une qualification SecNumCloud.