SecNumCloud est le fruit d’une initiative de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) visant à accroître la protection des administrations mais également des OIV (Opérateurs d’Importance Vitale). Le projet a vu le jour suite à la promulgation en 2013 de la Loi de Programmation Militaire. L’objectif était alors de proposer un label attestant du niveau de sécurité des fournisseurs de solutions Cloud. Cinq ans plus tard, le niveau d’exigence s’est renforcé et Oodrive est le tout premier prestataire à recevoir le fameux sésame.

D’après une analyse réalisée par Advens, SecNumCloud vient combler un manque, celui d’un référentiel de sécurité adapté aux métiers du Cloud. Le recours massif à ces services par les entreprises plus ou moins encadré (Shadow IT) rend le besoin d’évaluer leur sécurité indispensable. La LPM a notamment mis en lumière le risque que constitue le partage de données pour l’Etat en cas de défaillance de la part de son prestataire (quand il s’agit de données militaires par exemple).

Ce référentiel, appelé à l’origine Secure Cloud, a pour objectif de fixer un haut niveau en ce qui concerne sécurité que doivent attendre les entreprises et les instances gouvernementales de la part de leurs fournisseurs CSP (Cloud service provider).

Mettre fin aux inquiétudes liées au Cloud

Si certaines entreprises, encore aujourd’hui, ne se sont pas tournées vers le Cloud, c’est principalement pour des raisons de sécurité. Le fait d’externaliser, tout ou partie de son infrastructure ou de ses données, dans un datacenter externe administré par un prestataire peut parfois inquiéter. C’est pour palier à ce problème que l’ANSSI a décidé de créer SecNumCloud. En répondant à des normes de sécurité strictes, ce référentiel est une véritable garantie sur le respect des bonnes pratiques de sécurisation des données.

Suite à un appel public à candidature lancé en septembre 2014, neuf prestataires de services Cloud ont été sélectionnés par l’Agence pour participer à une phase d’expérimentation. « Le référentiel a été mis à jour pour prendre en compte le retour d’expérience de cette phase expérimentale », a indiqué l’ANSSI. Au fil du temps et des évolutions réglementaires, le référentiel SecNumCloud a été modifié et complété. De nouvelles exigences ont été ajouté suite à l’entrée en vigueur du RGPD par exemple. L’ANSSI, en collaboration avec la CNIL, a inséré des exigences relatives à la protection des données répondant aux besoins des entreprises, des administrations et des collectivités.

En 2016, le référentiel proposait deux niveaux de garantie, SecNumCloud Essentiel et SecNumCloud Avancé. Le premier concernait l’application des bonnes pratiques de sécurité définies par l’ANSSI (contrôles des accès physiques, authentification forte avec mots de passe hachés et salés, chiffrement logiciel et hébergement des données en Europe, etc). Le second imposait notamment une authentification multi-facteurs, un chiffrement matériel (via HSM) ou encore un hébergement en France. Le référentiel a évolué depuis et est devenu SecNumCloud « dans un souci de simplification et de prise en compte des besoins exprimés par les utilisateurs potentiels conduisant à la suspension du niveau avancé ». A noter que l’offre de Cloud Privé SecNumCloud d‘Oodrive intègre de nombreux éléments du niveau « Avancé » du référentiel.

Un référentiel inspiré de la norme ISO 27001

Ce nouveau référentiel a été construit sur une base solide. En effet, ses auteurs ont expliqué s’être largement inspiré de la norme ISO 27001. « La bonne nouvelle est donc qu’il ne s’agit pas d’un référentiel entièrement nouveau qu’il faudra apprendre à maîtriser, mais plutôt une déclinaison d’exigences déjà identifiées mais adaptées au contexte spécifique du Cloud », a indiqué Advens, qui réalise de nombreux audits de conformité basés sur de tels référentiels.

Une solution pour mieux protéger les OIV

La création de SecNumCloud doit permettre de mieux gérer les risques d’attaques vis-à-vis des OIV. Ces derniers devront impérativement faire appel à un prestataire labellisé pour stocker leurs données. Cette action vient compléter la loi de programmation militaire de 2013 qui vise à renforcer la défense nationale et la sécurité.

Un gage de confiance pour les offres d’Oodrive

Oodrive, pionnier du Cloud computing en France, a annoncé l’obtention du fameux label. Une qualification qui prouve une fois encore son expertise dans le domaine de la protection des données sensibles. Le groupe propose trois solutions de cloud privé qualifiées SecNumCloud par l’ANSSI : iExtranet, PostFiles et BoardNox.