Malgré une adoption massive des services cloud, le marché ne disposait pas d’un référentiel permettant d’évaluer le niveau de sécurité proposé par les fournisseurs CSP (Cloud Service Provider). Or face à la recrudescence des cyberattaques de plus en plus sophistiquées, le choix de solutions sécurisées représente aujourd’hui un enjeu stratégique au sein des organisations aussi bien publiques que privées.
Suite à ce constat et à la promulgation de la loi de programmation militaire en 2013, l’Agence Nationale de Sécurité des Systèmes d’information (ANSSI) s’entoure de 9 acteurs du secteur du Cloud Computing pour former un groupe de travail et réfléchir à la création d’un Visa de Sécurité reposant sur un référentiel Cloud exigeant. Fin 2016, la première version du référentiel SecNumCloud est publiée par l’ANSSI. Il vient donc combler un manque, celui d’un référentiel de sécurité adapté aux métiers de l’informatique en nuage. SecNumCloud est pensé pour guider les utilisateurs dans leur choix de solutions et renforcer les capacités de cyberdéfense de la France et de l’Europe.
Depuis janvier 2019, les offres collaboratives d’Oodrive sont les toutes premières solutions à être qualifiées SecNumCloud par l’ANSSI. Aujourd’hui, d’autres entreprises sont en passe de voir leurs offres qualifiées et cette première attribution en France relance les discussions européennes sur la création d’un référentiel commun. Mais quels sont les garanties et les bénéfices de sécurité apportés par cette qualification et quelles différences y a-t-il entre une offre cloud classique et une offre qualifiée SecNumCloud ? La conférence SecNumCloud : pour un cloud de confiance vise à répondre à ces questions.
Mettre fin aux inquiétudes liées au Cloud
Si certaines organisations résistent encore à l’externalisation de tout ou partie de leurs données, c’est principalement dû à des appréhensions concernant la fiabilité des solutions cloud. Héberger des données sur des datacenters administrés par un tiers semble encore largement inquiéter. Aujourd’hui, grâce au référentiel, la conformité d’une solution aux recommandations de l’ANSSI est facilement identifiable.
Avoir recours à une solution qualifiée « participe à l’élévation du niveau de sécurité global des administrations, des entreprises et des citoyens face au risque numérique », a indiqué l’ANSSI. Lors de la présentation de son bilan annuel, l’agence a précisé que les certifications et qualifications qu’elle délivre ne sont pas de « simples labels de complaisance ». Guillaume Poupard, directeur général de l’ANSSI, a précisé qu’avec ces labels, « l’Etat s’engage sur la qualité des prestataires ».
L’obtention de la qualification SecNumCloud impose d’accroitre les exigences de conformité technique, organisationnelle, contractuelle et réglementaire. Elle protège ainsi les données les plus confidentielles des entreprises et, par extension, des consommateurs. Le label gagne ainsi à être connu du public. A ce titre, les premières conclusions d’une courte étude réalisée par Oodrive, montrent que 58% des professionnels déclarent connaître la qualification mais seulement 34% des répondants savent que cette qualification s’adresse aux Opérateurs d’Importance Vitale (OIV).
Alors que les enjeux de sécurité et de confidentialité des données concernent l’ensemble des entreprises manipulant des données sensibles, SecNumCloud s’adresse plus spécifiquement aux OIV et aux organismes étatiques soumis à des règles de confidentialité très strictes. Le référentiel SecNumCloud s’inscrit dans la lignée de la loi de programmation militaire de 2013 avec pour objectif commun de renforcer la défense nationale et la sécurité. C’est pourquoi l’ANSSI recommande vivement aux OIV de s’orienter vers des solutions estampillées d’un Visa de Sécurité pour stocker ou traiter leurs données.
Un engagement de l’Etat
Le Visa de Sécurité associé à SecNumCloud est délivré par l’Agence Nationale pour la Sécurité des Systèmes d’Information pour une durée de trois ans. Une fois obtenue, la qualification exige la mise en place d’audits de surveillance tous les 18 mois. L’Etat s’engage donc à valider la fiabilité d’une prestation pour renforcer la confiance et la transparence indispensables à toute entreprise consciente de la sensibilité de ses données. SecNumCloud est conçu pour assurer la transmission d’une partie des contraintes sécuritaires du commanditaire vers le prestataire, ayant lui-même pris soin de valider la qualité de ses services auprès d’un organisme d’Etat : l’ANSSI.
Un niveau d’exigence supérieur
La norme ISO 27001 est l’un des socles de la qualification SecNumCloud. Cependant, le niveau de sécurité imposé par le référentiel est bien supérieur puisqu’il requiert l’implémentation de technologies très concrètes.
Détection en temps réel des incidents de sécurité, chiffrement des données à travers des modules de sécurité matériel labélisés ANSSI, pratiques de Privacy by Design intégrées nativement, conformité aux exigences du RGPD relatives à la protection des données, cloisonnement des traitements de données des clients, contrôle d’accès et gestion des identités renforcés, durcissement de la sécurité physique avec la mise en place de zones privées contrôlées… la qualification SecNumCloud allie sécurité proactive et exigences de réactivité.