Référentiel de sécurité des services informatiques en nuage

L’adoption massive des services cloud par le public et le privé a amené l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) à créer en 2016 un référentiel permettant d’évaluer le niveau de sécurité proposé par les fournisseurs de produits et services en SaaS, le SecNumCloud.

Depuis l’entrée en vigueur du RGPD, l’ANSSI en collaboration avec la CNIL a fait évoluer le référentiel. Il inclut aujourd’hui de nouvelles exigences en matière de données personnelles. C’est donc l’occasion de faire le point sur cette qualification qui souhaite allier sécurité, fiabilité et transparence.

Pourquoi la qualification SecNumCloud ?

Revenons d’abord sur la notion de cloud. L’hébergement en nuage est un modèle de gestion informatique permettant l’accès via un réseau à des ressources informatiques partagées et configurables.

La particularité du cloud computing se manifeste par la mise à disposition de ressources, de manière dynamique ou automatique, sans intervention humaine de l’hébergeur. Trois types d’activités sont concernées par l’hébergement en nuage : les infrastructures en tant que service (IaaS), les plateformes en tant que service (PaaS) ainsi que les logiciels en tant que service (Saas).

Avec l’externalisation des données, des inquiétudes peuvent apparaître sur la fiabilité et ralentir l’adoption du cloud computing.

Dans un contexte de recrudescence des cyberattaques de plus en plus complexes, le choix d’une solution sécurisée est donc un enjeu stratégique pour les entreprises ! Afin de guider les utilisateurs dans ce choix et de renforcer les capacités de cyberdéfense françaises, l’ANSSI a donc créé la qualification SecNumCloud en 2016.

Ce véritable référentiel de sécurité est totalement adapté aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale et ceci avec un cadre stable dans lequel les utilisateurs pourront fonder leur confiance en cette qualification.

Le SecNumCloud, c’est quoi ?

Ainsi, le SecNumCloud est conçu comme une véritable garantie du respect des bonnes pratiques de sécurisation des données. La norme ISO 27002 est l’un des socles de sa construction : les exigences y sont ainsi adaptées au contexte spécifique du Cloud et complétées.

Chiffrement des données, conformité à la RGPD, contrôle d’accès et gestion des identités renforcés, mise en place de zones privées et sensibles contrôlées, protection de l’information journalisée, établissement de convention de service avec le prestataire,… La qualification SecNumCloud met au cœur la réactivité et impose un niveau de sécurité global significatif.

Le SecNumCloud, C’est pour qui ?

La qualification SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données.

Comment ça marche ?

Pour obtenir cette qualification, les prestataires doivent répondre à un certain nombre d’exigences énumérées dans le référentiel. Ils constituent au préalable un dossier de demande qualification qui doit être accepté par  l’ANSSI, puis avec un chargé de qualification, ils élaborent une stratégie d’évaluation. Une fois l’évaluation réalisée, le directeur de l’ANSSI prend la décision finale de qualification du prestataire. Associé au Visa de Sécurité, la qualification SecNumCloud est valable pendant trois ans. Des audits de surveillance doivent être réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs (retrouvez tous les centres d’évaluation sur le site de l’ANSSI).

 Par cette qualification, l’Etat s’engage ainsi à ce que les services des fournisseurs d’hébergement en nuage audités et validés soient fiables et répondent à toutes les exigences du référentiel.

Pour retrouver le référentiel d’exigences, c’est par ici.

Vous avez encore des interrogations ? N’hésitez pas à nous contacter. Nous répondrons à toutes vos questions et nous vous accompagnerons dans la mise en place du référentiel SecNumCloud dans votre structure.


Thomas

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !