Top Qs
Chronologie
Chat
Contexte
SecNumCloud
Norme française de sécurité pour les services cloud De Wikipédia, l'encyclopédie libre
Remove ads
SecNumCloud est une qualification de l'ANSSI créée en 2016 pour certifier la qualité et la sécurité d'une offre de service cloud.
Remove ads
Définition
SecNumCloud est une qualification de sécurité qui s'adresse aux prestataires de services cloud aussi bien en PaaS (Platform as a service), en IaaS (Infrastructure as a service) ou en SaaS (Software as a service)[1].
La qualification SecNumCloud s'intéresse aux exigences relatives au prestataire de services, à son personnel et au déroulement des prestations. Elle considère pour cela des mesures techniques (étanchéité des systèmes d'information), opérationnelles (seul le prestataire peut intervenir sur les ressources supportant le service) et juridiques (application exclusive du droit européen)[2].
La qualification SecNumCloud en version 3.2 garantit aux clients de prestations de service cloud : un exploitant non soumis aux lois extra-territoriales, soit parce qu'il est français ou européen avec une part des capitaux majoritairement européens ;et des centres de données stationnés sur le sol européen.
Elle s'adresse à une offre de service particulière et non à un prestataire dans sa globalité[3].
Remove ads
Genèse
Résumé
Contexte
L'échec des projets de cloud public français Andromède (Cloudwatt et Numergy) n'a pas été en pure perte.
La loi de programmation militaire de 2013 va enclencher des réflexions sur la sécurité informatique. Ces réflexions quant à la sécurité informatique dans le cloud ont permis de mettre au point des méthodes d'évaluation des offres. Cela pousse l'ANSSI à créer Secure Cloud en . Secure Cloud devient SecNumCloud en 2016[4],[2].
L'ANSSI définit la qualification SecNumCloud dans sa version 3.0 en 2016. Cette qualification est basée sur la norme ISO/CEI 27001[5] et comporte deux niveaux de certification « essentiel » et « avancé »[6].
L'entrée en vigueur du RGPD en 2018 va entrainer la réunion des deux niveaux de certification en un seul[6].
En 2021 est ajoutée la notion d'absence de soumission à une juridiction extra-européenne, suivant ainsi le discours gouvernemental de mai 2021 qui définit la nouvelle stratégie nationale sur le cloud[6].
La définition de la version 3.2 intervient en 2022. Dans sa version 3.2 elle intègre des exigences supplémentaires, notamment en termes de souveraineté et de protection vis à vis du droit extra-européen[5].
Remove ads
Objectifs
La version 3.2 de la qualification SecNumCloud répond aux nouvelles obligations de la doctrine gouvernementale « Cloud au centre » publiée le . Cette doctrine consiste à se protéger contre « tout accès non autorisé par des autorités publiques d'Etats tiers ». Un changement doctrinaire qui existe déjà dans la loi SREN du et qui oblige les administrations traitant des « données sensibles » à faire appel à des fournisseurs non soumis à des lois extra-territoriales. Les données sensibles sont :
- les données relevant de secrets protégés par la loi ;
- les données relevant de la sauvegarde de la sécurité nationale ;
- les données relevant du maintien de l'ordre public ;
- les données relatives à la protection de la santé et de la vie des personnes[7].
L'avenir de SecNumCloud dépend cependant du futur statut européen, l'EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services. Un premier projet a été rédigé en 2020, mais en 2024, aucune version définitive n'a encore été publiée[2].
Processus de certification
Le processus de certification SecNumCloud comporte 4 jalons :
- J0, l'acceptation de la demande de qualification ;
- J1, l'acceptation de la stratégie d'évaluation ;
- J2, l'acceptation des travaux d'évaluation ;
- J3, la décision de qualification[2].
Annexes
Documents externes
- ANSSI, Prestataires de services d’informatique en nuage (SecNumCloud) : Référentiel d'exigences, , 55 p. (lire en ligne [PDF])
Références
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads