L’obtention de cette qualification repose sur des exigences, applicables aux acteurs de services d’informatique en nuage (cloud computing). Elles ont été établies par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans un référentiel baptisé SecNumCloud. Ce référentiel est le fruit d’une co-construction de l’ANSSI et des acteurs du cloud, et plus récemment la CNIL. Il tient ainsi compte, dans sa dernière version, du RGPD, entré en vigueur le 25 mai 2018.

SecNumCloud : périmètre des prestataires concernés

Les activités visées par le référentiel sont :

Fourniture de services SaaS (Software as a service). Ce service concerne la mise à disposition par le prestataire d’applications hébergées sur une plateforme partagée. Le commanditaire (entité faisant appel à un prestataire de services cloud) n’a pas la maîtrise de l’infrastructure technique sous-jacente. Le prestataire gère de façon transparente pour son client l’ensemble des aspects techniques nécessitant des compétences informatiques. ce dernier garde la possibilité d’effectuer quelques paramétrages métier dans l’application.

Fourniture de services PaaS (Platform as a service). Ce service concerne la mise à disposition par le prestataire de plateformes d’hébergement d’applications. Le commanditaire n’a pas la maîtrise de l’infrastructure sous-jacente, gérée et contrôlée par le prestataire (réseau, serveurs, OS, stockage, etc). Le commanditaire a cependant la maîtrise des applications déployées sur cette plateforme. Il peut aussi avoir la maîtrise de certains services composant cette plateforme ou de certains éléments de configuration suivant la répartition des rôles définie par le service.

Fourniture de services IaaS (Infrastructure as a service). Ce service concerne la mise à disposition de ressources informatiques abstraites (puissance CPU, mémoire, stockage, etc). Le modèle IaaS permet au commanditaire de disposer de ressources externalisées, potentiellement virtualisées. Ce dernier garde le contrôle sur le système d’exploitation (OS), le stockage, les applications déployées ainsi que sur certains composants réseau (pare-feu par exemple).

Quels bénéfices pour une entreprise ?

Le respect du référentiel SecNumCloud permet de garantir un niveau de sécurité optimal et assurer qu’un incident lors du stockage ou du traitement de données ait une conséquence limitée pour une entreprise. Le texte assure notamment le respect des bonnes pratiques de sécurité relevant de l’hygiène informatique, telle que décrites dans le guide de l’ANSSI.

D’après les auteurs du référentiel, un prestataire de services cloud non qualifié peut potentiellement augmenter l’exposition d’une entreprise ou d’une administration à certains risques et notamment la fuite d’informations confidentielles, la compromission, la perte ou l’indisponibilité de son système d’information.

Bien que la qualification soit basée sur la norme ISO 27001, le niveau de sécurité imposé par SecNumCloud est bien supérieur en exigeant des mesures fortes et concrètes à mettre en oeuvre (WAF, SIEM, HSM, OTP). La certification ISO 27001, neutre sur la technologie, permet de mettre en place l’organisation nécessaire pour apporter la sécurité. La qualification SecNumCloud, dédiée à l’informatique en nuage, hisse la sécurité des services du périmètre au niveau le plus élevé connu dans le domaine du cloud. En choisissant une offre qualifiée, le client est assuré d’utiliser une solution dont la sécurité est garantie par un organisme de l’Etat, à savoir l’ANSSI.

Libérez-vous de la contrainte sécuritaire

En choisissant une solution qualifiée SecNumCloud, vous vous libérez de la contrainte sécuritaire. Vous la confiez à un partenaire de confiance, tout en bénéficiant du plus haut niveau de sécurité reconnu en France à ce jour. Vous êtes conforme aux recommandations de l’ANSSI et utilisez une solution éprouvée et auditée par des acteurs indépendants. Vous gagnez du temps en vous libérant de la charge de vérification de conformité de la solition grâce à un label reconnu par l’Etat.

Pour connaître les exigences imposées par l’ANSSI, téléchargez notre ebook SecNumCloud