SecNumCloud, l'atout pour garantir la sécurité et la souveraineté ?

La transformation numérique des organisations a favorisé l’émergence et la démocratisation des acteurs du cloud. Depuis plusieurs années, les entreprises font appel à eux pour héberger leurs données et mettre en place de nouveaux modes de travail.

Aujourd’hui, une nouvelle problématique se pose : comment garantir la sécurité et la souveraineté des données sur les plateformes utilisées par les entreprises ?

Une qualification existe et mériterait d’être mieux connue. Le processus d’obtention est long, complexe, et coûteux, ce qui est plutôt rassurant à la vue des sujets évoqués.

Son nom : SecNum Cloud. L’autorité qui la délivre : l’ANSSI.

L’Agence nationale de la sécurité des systèmes d’information est un service français en charge d’accompagner le premier ministre sur les sujets liés à la défense et à la sécurité nationale.

Si je devais vulgariser sa fonction, je dirais que c’est la « RSSI de l’État français ».

Les visas de sécurité délivrés par l’ANSSI permettent d’identifier des solutions sécurisées, après une évaluation rigoureuse effectuée par des laboratoires agréés et indépendants.

Cette méthodologie implique :

• une analyse approfondie de l’organisation,
• des procédures,
• de l’architecture,
• et des configurations techniques,

afin de vérifier la conformité des services à un niveau d’exigence donné.

Un visa de sécurité est alors délivré avec un certificat ou une qualification, selon le contexte et le besoin. Les visas de sécurité sont une garantie pour les utilisateurs, au sein d’un cadre de confiance créé par l’ANSSI.

Le SecNumCloud est une qualification délivrée par l’ANSSI.

À ce jour, il s’agit de la plus haute qualification qui existe sur ce sujet en France, et plus largement en Europe.

SecNumCloud a été présenté sous sa première version officielle en 2016, puis a connu une révision en 2018 pour aboutir à sa version 3.1, actuellement utilisée.

Cette qualification est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Ce label s’appuie sur la norme ISO 27001 (qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information), mais ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud. Il garantit ainsi que l’ensemble des processus soit fiable et sécurisé à tous les niveaux :

• technique,
• physique,
• organisationnel,
• et contractuel.

L’objectif du SecNumCloud est donc d’orienter les administrations soumises à des règles de confidentialité strictes, les organismes d’importance vitale (OIV), les opérateurs de services essentiels (OSE), ainsi que tous les acteurs qui traitent des données sensibles vers des prestataires de confiance.

Le décor est planté. Nous parlons d’une qualification représentant ce qui se fait de mieux en matière de sécurité, provenant de l’autorité la plus compétente sur ce sujet.

Les organisations qui font le choix de travailler avec une solution non SecNumCloud s’exposent à des risques importants : perte ou fuite de données, exposition directe à des lois extraterritoriales (ex. : Cloud Act), etc.

Travailler avec un service qualifié SecNumCloud offre de nombreux bénéfices :

• un niveau de sécurité optimal,
• des données chiffrées et cloisonnées,
• la détection d’incidents en temps réel,
• des moyens mis en place pour minimiser les risques de sinistres physiques et naturels,
• un renforcement de la sécurité physique, etc.

En réalité, le référentiel SecNumCloud couvre plus de 360 points d’exigences, autour de 14 thématiques de sécurité.

Une solution qualifiée SecNumCloud assure aux clients qu’aucune de leurs données ne sera accessible, transférée ou traitée hors Union européenne. C’est ce que le début de cet article laisse penser.

C’est faux !

En réalité, aucun critère d’exigence du SecNumCloud ne mentionne le point de l’extraterritorialité du droit. C’est pour cette raison que Wimi va au-delà de la qualification en proposant une solution qui protège les organisations contre les lois extraterritoriales.

Comment ? Wimi est une société française fondée à Paris en 2010 par deux Français. L’hébergement est réalisé par un hébergeur français (Scaleway) et tous ses serveurs sont physiquement situés en France. Vos données stratégiques sont en France et restent en France.

Certains éditeurs SaaS jouent clairement avec la méconnaissance du marché. Ils laissent penser qu’il suffit que leur hébergeur soit qualifié SecNumCloud pour qu’eux le soient également, par une sorte de rebond magique.

C’est faux.

Vis-à-vis du SecNumCloud, cet éditeur ne pourra garantir que la sécurité de l’hébergement, qui constitue qu’un seul des 14 thèmes d’exigence couverts par le SecNumCloud. Bien que ce soit un bon début, vous conviendrez que c’est largement insuffisant.

La liste complète des services qualifiés est disponible ici.

Celle des services en cours de qualification se trouve ici.

La durée de la qualification est de 3 ans. Après cette échéance, il est obligatoire de mettre en place des audits de surveillance tous les 18 mois.

Dans l’univers de la collaboration, nous retrouvons Oodrive (gestion documentaire) et Tixeo (visioconférence). D’ici quelques mois, Wimi sera la première plateforme de collaboration en mode projet qualifiée SecNumCloud.

Les solutions cloud sont nombreuses, mais toutes ne fournissent pas le même niveau de sécurité, de robustesse et de confiance. Face à des cyber menaces en forte croissance, le choix de solutions qualifiées est un enjeu stratégique pour toutes les organisations (publiques ou privées). Le visa SecNumCloud permet d’identifier rapidement les solutions les plus fiables du marché.

Article promotionnel. Les contributeurs experts sont des auteurs indépendants de la rédaction d’Appvizer. Leurs propos et positions leur sont personnels.