Sous le capot du référentiel SecNumCloud 3.2 : Quelles évolutions ? Quel futur ?

10 juin 2024 - 4 min de lecture
Sous le capot du référentiel SecNumCloud 3.2 : Quelles évolutions ? Quel futur ?

La dernière itération du référentiel SecNumCloud, la version 3.2, dévoilée par l'ANSSI en mars 2022, marque une avancée majeure dans le paysage de la sécurité informatique en France.

Succédant à la version précédente datant de 2017, cette mise-à-jour fait couler beaucoup d’encre, en raison de l’adoption d’une posture très protectionniste, face aux Lois Extra-Européennes et aux risques perçus pour la confidentialité des données.

Elle introduit également certaines clarifications cruciales, longtemps réclamées par les prestataires cloud (🥳) et les auditeurs, pour simplifier la compréhension et l'évaluation des règles existantes.

Dans cet article, nous revenons sur les évolutions majeures de cette dernière version et posons un regard sur l’avenir de la qualification SecNumCloud face à l’émergence de la norme européenne EUCS.

Comment a évolué la qualification SecNumCloud depuis sa création ?

Depuis sa création en 2014, la qualification SecNumCloud n’a cessé d’évoluer afin de prendre en compte à la fois les retours de l'écosystème IT, les changements de législation et les nouvelles menaces perçues.

➡️ Revenons rapidement sur l’histoire de ce référentiel.

Après deux versions dites “expérimentales” en 2014 et 2015, une première version “officielle” du référentiel SecNumCloud a été publiée en 2016.

On y retrouve les bases de la norme ISO 27001, qui porte sur les systèmes de management de la sécurité de l’information (autrement dit, les mécanismes et pratiques mises en place dans une entreprise pour garantir la protection, la confidentialité, l’intégrité et la disponibilité des informations qu’elle détient 🤯) avec, bien-sûr, l’ajout de quelques recommandations complémentaires, propres à l'écosystème cloud.

Son objectif, selon l'ANSSI, est de “fournir aux entreprises et aux institutions un moyen concret de sélectionner les prestataires respectant les meilleures pratiques en matière de sécurité informatique.

Cette première version proposait alors deux niveaux de garantie : un niveau “essentiel”, portant sur la capacité du fournisseur cloud à gérer des données standards, et un niveau “avancé” attestant de la capacité du prestataire à héberger, en toute sécurité, des données dites “critiques”.

Un an plus tard, en 2017, une première mise à jour importante est proposée afin d’aligner la qualification avec les aspects réglementaires imposés par la loi RGPD.

Le référentiel a ensuite connu une période de stabilité jusqu'à sa dernière version, SecNumCloud 3.2, mise à jour en 2022.

Regardons de plus près les évolutions de cette dernière version:👇

Quelles sont les nouvelles obligations prévues par SecNumCloud 3.2 ?

Application exclusive du droit européen 🇪🇺

L’évolution principale de ce référentiel SecNumCloud 3.2, est, sans contestation, l’introduction de nouvelles mesures visant à garantir l’immunité des fournisseurs cloud qualifiés, face aux lois extra-territoriales.

Deux lois américaines en particulier sont montrées du doigt :

  • le FISA (Foreign Intelligence Surveillance Act), qui réglemente la surveillance électronique et la collecte de renseignements à l'échelle nationale et internationale. Depuis 2008, un amendement autorise les autorités américaines à collecter, utiliser et partager des données personnelles stockées sur des serveurs américains, à condition qu’elles concernent des individus étrangers.
  • Le Cloud Act, ou Clarifying Lawful Overseas Use of Data Act, qui autorise les autorités américaines munies d’un mandat, à accéder, dans le cadre d'enquêtes criminelles notamment, aux données électroniques détenues par des fournisseurs de services cloud américains, y compris lorsque ces données sont stockées à l'étranger. Ces données peuvent concerner n’importe quel individu ou entreprise et être consultées en toute discrétion, ce qui soulève des questions sur les conflits de lois entre les États-Unis et d’autres pays, avec la RGPD en Europe notamment.

Pour s’assurer que les fournisseurs cloud qualifiés SecNumCloud opèrent exclusivement sous la juridiction européenne, le référentiel 3.2 impose des conditions strictes, notamment :

  • Avoir un siège social en Europe
  • Ne pas être contrôlé (autrement dit, ne pas avoir de capital social ou des droits de vote détenus à plus de 24% (individuellement) et de 39% (collectivement)) par des entreprises ne possédant pas leur siège sociale au sein de l’Union Européenne
  • Gérer et réaliser les principales activités d’administration et de maintenance en Europe.

Contrairement à la version précédente (SecNumCloud 3.1), les fournisseurs cloud dont le siège social est situé en dehors de l’Europe, ou dont l’actionnariat est majoritairement non européen, ne sont donc plus éligibles à la qualification.

C’est pourquoi on voit de plus en plus d’alliances se former entre des entreprises françaises et des fournisseurs cloud américains.

La notion de composition de services 🍔

Une autre avancée significative dans cette version 3.2 réside dans la clarification de la notion de "composition de services". Mais de quoi s’agit-il ?

Comme vous le savez, la qualification SecNumCloud 3.2 est ouverte à tous les prestataires cloud, qu’ils proposent des services SaaS (Software as a Service), PaaS (Plateforme as a Service), CaaS (Container as a service) ou encore IaaS (Infrastructure as a Service).

Or il arrive que certains prestataires, à ce jour non qualifiés, s’appuient, dans le cadre de leurs offres, sur des socles déjà détenteurs du fameux visa. C’est le cas chez Scalingo : En tant que PaaS, nous ne sommes à ce jour pas directement qualifiés SecNumCloud, mais nous proposons à nos clients l’utilisation de l’infrastructure (IaaS) qualifiée de notre partenaire Outscale. Ils ont d’ailleurs été la première infrastructure IaaS qualifiée SecNumCloud 3.2, fin 2023. 👏

Grâce à cette mise à jour, le processus de qualification devient donc plus simple et permet de se concentrer uniquement sur les briques et services qui ne sont pas encore qualifiés. Il n’est donc plus nécessaire de (re)qualifier la totalité de la chaîne de traitement de données jusqu’au datacenter !

Autres nouveautés

Un certain nombre d’autres évolutions et clarifications sont apportées dans cette version 3.2 du référentiel SecNumCloud, notamment :

  • Des précisions concernant l’exigence relative à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification,
  • L’obligation de réaliser des audits PASSI (Prestataire d'Audit de Sécurité des Systèmes d'Information) de manière indépendante suite à chaque changement majeur
  • L’intégration de nouvelles exigences concernant des catégories de services émergentes, telles que les Conteneurs en tant que Service (CaaS).
  • Une clarification des conditions de sauvegarde des données
  • L’obligation de supprimer l’intégralité des données du commanditaire en fin de contrat, en respectant un préavis formel de 21 jours calendaires.

La qualification SecNumCloud 3.2 est-elle équivalente au label “Cloud de Confiance” ?

Le lien entre le label "Cloud de Confiance" et SecNumCloud est effectivement très étroit.

Le label "Cloud de Confiance" est une reconnaissance attribuée aux services cloud qui répondent à des normes de sécurité élevées et qui garantissent une protection renforcée des données. Ce label a été instauré par l’Etat en réponse aux préoccupations de souveraineté numérique et de confidentialité des données.

Pour obtenir le label "Cloud de Confiance", un service cloud doit répondre à deux critères cumulatifs :

  • être qualifié selon le référentiel SecNumCloud
  • ne pas dépendre de droits extra-européens

Avec les mises à jour apportées par la version 3.2 du référentiel SecNumCloud, détenir la qualification revient donc à être labellisé “Cloud de Confiance".

Et demain ? La qualification SecNumCloud 3.2 va-t-elle être remplacée par la certification EUCS ?

L'ANSSI a longtemps plaidé en faveur d'une qualification européenne, alignée sur les recommandations établies par SecNumCloud.

Aujourd’hui, les exigences de la version 3.2 seraient bien intégrées à l'EUCS dans son niveau “élevé” parmi les trois niveaux disponibles (élémentaire, substantiel, élevé).

Or une loi appelée Cyber Act harmonise au niveau européen les schémas de certification, permettant une reconnaissance mutuelle entre les États membres. Si deux référentiels, l’un national et l’autre européen, couvrent les mêmes périmètres, le schéma européen doit prévaloir. À terme, SecNumCloud pourrait donc être abandonné au profit de l'EUCS.

Si d'aventure la version finale de l’EUCS n’intégrait  pas l’ensemble des critères attendus par l’ANSSI, un modèle de qualification complémentaire pourrait être proposé aux organisations publiques et critiques françaises.

Partager l'article
Jennifer Taylor
Jennifer Taylor
Growth Marketing Manager chez Scalingo, Jennifer explore le vaste territoire des PaaS et de l'industrie du cloud, nourrissant son expertise par des lectures pointues et des discussions enrichissantes avec des experts du secteur. Elle se fait un plaisir de vous partager les connaissances ainsi acquises.
Lire les autres articles de l'auteur
#certificate #SecNumCloud #security

Ces articles pourraient vous intéresser

Voir plus d'articles
La sécurité des applications chez Scalingo #1 : Asgard
Article
• 10 minutes de lecture
La sécurité des applications chez Scalingo #1 : Asgard
Lire l'article
Nouveau sur Scalingo : Redis 7
• 3 minutes de lecture
Nouveau sur Scalingo : Redis 7
Lire l'article
Guide pour déployer Keycloak sur Scalingo
Article
• 10 minutes de lecture
Guide pour déployer Keycloak sur Scalingo
Lire l'article
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Article
• 5 minutes de lecture
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Lire l'article
Life at Scalingo #3 : Rituels des équipes en remote
• 15 minutes de lecture
Life at Scalingo #3 : Rituels des équipes en remote
Lire l'article

Essayez gratuitement Scalingo

Demandez une démo
30 jours d'essai gratuit / Pas de CB nécessaire / Hébergé en France