Élaboré en 2016 par l’ANSSI, le référentiel SecNumCloud permet la qualification de prestataires de services cloud, quelle que soit leur spécialisation : SaaS (Software-as-a-Service), PaaS (Plateform-as-a-Service) et IaaS (Infrastructure-as-a-Service). Il propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d’exigence tant du point de vue technique qu’opérationnel ou juridique.
Le référentiel SecNumCloud : qu’est ce que c’est ?
S’appuyant sur la norme ISO/IEC 27001, le référentiel SecNumCloud permet de répondre aux exigences de la doctrine « cloud au centre » de l’État qui impose aux administrations le recours à des solutions SecNumCloud pour l’hébergement de données qualifiées de sensibles. Il s’inscrit aussi dans le Cybersecurity Act de l’Union européenne.
Qu’est ce que la certification Anssi ?
Le référentiel couvre des exigences relatives aux fournisseurs de services cloud eux-mêmes, mais aussi à leur personnel et au déroulement des prestations.
Il garantit la robustesse de la solution face aux cyberattaques les plus courantes, ainsi que la rigueur et la formalisation des processus et méthodes des prestataires.
Les solutions ayant passé avec succès la qualification obtiennent le Visa de sécurité ANSSI (1), qui permet d’être facilement identifié comme une solution robuste, fiable et de confiance.
Norme SecNumCloud 3.2 : une qualification qui se positionne vis-à-vis des lois extra-européennes
La première version de SecNumCloud a été publiée en 2016. Le référentiel a été révisé en 2018 (version 3.1) et en mars 2022 (version 3.2). Cette dernière clarifie un certain nombre de critères de protection vis-à-vis des lois extra-européennes, il protège en effet des lois américaines qui ne prévoient pas le même niveau d’exigence en matière de respect de la propriété des données. Ces exigences garantissent ainsi que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes.
Dans sa version 3.2, le référentiel SecNumCloud est ainsi conforme aux exigences européennes relatives à la protection des données personnelles et aux suites de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne.
Celui-ci a rappelé l’exigence de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) lorsque des données personnelles de citoyens européens sont transférées hors de l’Union européenne (UE).
Des hébergeurs au label SecNumCloud français
« Soutenu par l’État français, le référentiel SecNumCloud a principalement pour ambitions de développer un marché d’acteurs nationaux proposant des offres Cloud sécurisées, rassurantes pour les clients qui souhaitent s’engager dans une stratégie de migration vers le Cloud. Il souhaite également créer un secteur non couvert par les leaders américains du marché Cloud en France et bénéficier d’une compatibilité des données sensibles hébergées avec les services publics de l’État », déclare Richard Gout, Chef de produit marketing – accès datacenter et cloud chez Bouygues Telecom Entreprises.
Le consortium Numspot et son offre de cloud de confiance
En octobre 2022, Bouygues Telecom, Docaposte (filiale de La Poste), Dassault Systèmes et la Banque des territoires se sont associés pour créer Numspot, une nouvelle société de cloud de confiance. NumSpot lancera la première version de sa plateforme de cloud souverain et de confiance en mai 2024. Elle sera enrichie progressivement par un catalogue de services managés.
« Pour Bouygues Telecom Entreprises, c’est notre association avec Numspot en tant que partenaire « privilégié » qui offre des opportunités dans un premier temps de proposer des connexions réseaux sécurisées via notre offre Cloud Connect (alternative à un accès Internet).»
«Dans un second temps, c’est d’aller jusqu’à l’intégration des solutions Numspot pour offrir au client une gestion de bout en bout, ainsi qu’un guichet unique d’exploitation. Nos clients du secteur public seront ciblés principalement pour mettre en place ce type de solution, en synergie avec Numspot », conclut Richard Gout.
Ce qu’il faut en retenir de SecNumCloud en France
Le référentiel SecNumCloud, établi par l’ANSSI en 2016, qualifie les prestataires de services cloud, avec des règles de sécurité rigoureuses. Basé sur ISO/IEC 27001, il répond à la doctrine « cloud au centre » de l’État français, couvre des normes européennes, et garantit la robustesse contre les cyberattaques. Sa version 3.2 vise à développer un marché national sécurisé et compétitif, en évitant les lois extra-européennes.
Source :