Qualification SecNumCloud par l’ANSSI : Le Guide Complet

12 février 2024 - 10 min de lecture
Qualification SecNumCloud par l’ANSSI : Le Guide Complet

Dans un contexte de migration croissante des entreprises vers le cloud, et d’une hausse exponentielle des cyber-risques, le sujet de la sécurité des prestataires de services “dans le nuage” est au centre des débats publics en France.

Pour répondre à ces préoccupations, l’initiative "SecNumCloud", proposée par l'Agence Nationale de la Sécurité des Systèmes d'Information (ou ANSSI), fait figure de référence. Distinguant les prestataires cloud appliquant les normes de sécurité les plus rigoureuses, la qualification SecNumCloud représente, à ce jour, le plus haut standard français en la matière.

Chez Scalingo, nos équipes sont en pleine préparation pour l’obtention de ce visa ! Nous en avons donc profité pour éplucher tous les dossiers et articles à notre disposition, ainsi que le fameux “Référentiel SecNumCloud”, pour vous en résumer l’essentiel.

Qu’est-ce-que la qualification SecNumCloud ?

Pour faire simple, SecNumCloud est une qualification de sécurité française, élaborée par l’ANSSI, et visant à garantir la robustesse des solutions cloud face à une recrudescence de cyberattaques.

Désormais incontournable dans l’écosystème cloud français, le label SecNumCloud est attribué aux prestataires de services cloud qui adhèrent aux normes de sécurité les plus élevées. Ces normes sont décrites en détail dans le référentiel du même nom. Nous vous en dirons plus dans un instant.

La qualification est délivrée sous forme de visa et est valable pendant trois ans, renouvelables.

❗Attention, on parle bien ici de qualification, et non pas de certification SecNumCloud, comme on le voit parfois. L’utilisation de ces termes est très réglementée, et, alors qu’on peut "certifier" une entreprise sur un périmètre donné, on "qualifie" plutôt un service.

Qui est l’ANSSI, l’agence à l’origine de la qualification ?

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), créée en 2009, est une agence gouvernementale française. Sous l'autorité du Secrétariat général de la Défense et de la Sécurité Nationale (SGDSN), elle joue un rôle clé dans la protection des infrastructures critiques et sensibles contre les cybermenaces. On l’appelle d’ailleurs parfois "le gendarme de l’internet français !"

Outre son rôle réactif face aux incidents, l'ANSSI intervient également dans la sensibilisation et la prévention. Elle élabore des référentiels, des normes et des certifications. C'est dans ce cadre qu'elle a créé la qualification SecNumCloud.

Pour en savoir plus → https://cyber.gouv.fr/

Quels prestataires cloud sont concernés ?

Le label SecNumCloud peut être attribué, après audit et validation du respect des normes de sécurité préconisées, à n’importe quel prestataire de services cloud. Sont donc concernés :

  • Les PaaS, ou plateformes en tant que service, comme Scalingo 🙌, qui fournissent des plateformes permettant aux développeurs de créer, héberger et déployer des applications sans se soucier de la gestion sous-jacente de l’infrastructure. (Vous n’avez jamais encore testé de PaaS ? Rdv par ici pour tester un déploiement en quelques minutes.)

  • Les IaaS, ou infrastructure as a service, qui offrent aux développeurs l’accès à des ressources informatiques telles que des serveurs, machines virtuelles, du stockage et des réseaux, sans avoir à gérer physiquement ces infrastructures.

  • Les SaaS, ou software as a service, qui proposent aux utilisateurs finaux, l’accès à une application, sans avoir besoin d’installer et de maintenir de logiciel localement sur leurs appareils.

  • Les CaaS, ou Container as a Service, qui fournissent des plateformes permettant la gestion, le déploiement et l’orchestration de conteneurs.

L’étendue de la qualification SecNumCloud dépend bien entendu du service proposé, et porte uniquement sur l’offre spécifique de la société évaluée : Un PaaS ne sera donc pas évalué de la même manière qu’un CaaS par exemple. 🤯

Différences entre PaaS, IaaS, SaaS

Source : Redhat

Quelle est l’utilité de ce label et à qui est-il destiné ?

Pour bien comprendre, il faut remonter quelques années en arrière.

La qualification SecNumCloud a vu le jour en 2013, suite à la promulgation d’une loi nommée "Loi de Programmation Militaire". Pour votre culture générale, vous pourrez en découvrir le contenu ici, mais ce n’est pas vraiment nécessaire pour la suite de l’explication.

Ce qu’il faut retenir, c’est que les discussions autour de cette loi ont permis de faire remonter un certain nombre de risques liés au partage de données sensibles par l’Etat, notamment en cas de défaillance de leur prestataire cloud.

La qualification SecNumCloud est alors apparue comme la solution ultime pour auditer, et garantir le niveau sécurité des fournisseurs de solutions Cloud utilisées alors par les administrations publiques, mais également par ce qu’on appelle les "Opérateurs d’Importance Vitale".

🤓 Pour ceux qui se posent la question, les Opérateurs d’Importance Vitale sont des organisations identifiées par l'État comme ayant des activités indispensables à la survie de la nation ou potentiellement dangereuses pour la population. Il y en aurait environ 250 en France, mais pour des raisons de sécurité nationale, la liste n'est pas publique et lesdites sociétés ont interdiction d’en parler.

Bref, dix ans plus tard, l’utilisation du cloud s’est très largement démocratisée, et un large éventail d'entreprises, tant publiques que privées, sont aujourd’hui intéressées par cette qualification. On y trouve notamment les acteurs de la finance, de la santé, de l’énergie et de la défense, qui gèrent des projets critiques ou des données particulièrement sensibles.

Quels sont les pré-requis pour lancer une candidature SecNumCloud?

Tout prestataire de services cloud désirant prouver que son offre répond au référentiel de sécurité SecNumCloud est en droit de demander à le faire attester, via le processus de qualification prévu par l’ANSSI.

Aucun pré-requis n’est véritablement formulé par l’agence, mais pour éviter toute perte de temps, on vous conseille de vérifier et valider en amont, à minima, les points suivants. Vous devez notamment :

  • Avoir votre siège social en France, ou en Europe (il existe également quelques cas particuliers de pays disposant d’un accord de reconnaissance mutuelle avec la France, pensez donc à vérifier, si besoin)

  • Ne pas avoir un capital social ou des droits de vote détenus à plus de 24% (individuellement) et de 39% (collectivement) par une ou des entreprises ne possédant pas leur siège sociale au sein de l’Union Européenne. C’est la notion de souveraineté !

  • Respecter rigoureusement l’ensemble des réglementations sur la protection des données existantes (et être en mesure de le prouver)

  • Idéalement, avoir déjà obtenu la certification ISO 27001 (Le référentiel SecNumCloud se basant, en partie, sur l’annexe A de cette norme)

  • Avoir implémenté un Système de Management de la Continuité d’Activité (SMCA) fiable pour piloter votre Plan de Continuité d'Activité (PCA)

  • Avoir mis en place, avec succès, un outil SIEM (Security Information and Event Management)

Que contient le fameux référentiel SecNumCloud?

Il est temps d’entrer dans le vif du sujet !

Il faut, avant tout, savoir que le référentiel SecNumCloud évolue régulièrement afin de s’adapter aux dernières avancées technologiques et aux menaces émergentes. Il garantit ainsi une protection continue et actualisée des services cloud, et intègre à la fois des normes techniques, opérationnelles et juridiques. C’est également un référentiel qui se veut, avec le temps, de plus en plus "protectionniste" des données vis-à-vis du droit extra-européen.

Sa version 3.2 (la dernière en date), couvre actuellement plus de 360 points d’exigences, organisées autour de 14 thématiques de sécurité dont :

  • La sécurité de l’information et gestion du risque, incluant notamment l’obligation d’appliquer une politique de sécurité de l’information stricte au sein de l’entreprise, avec une documentation claire des risques et des engagements associés, ainsi que le respect du guide d’hygiène informatique, niveau renforcé, proposé par l’ANSSI.

  • La cryptographie, impliquant la mise en œuvre de mécanismes de chiffrement robustes pour l’ensemble des données stockées, mots de passe et flux réseaux, la mise en place de signatures électroniques, une gestion rigoureuse des secrets cryptographiques de l’entreprise et l’utilisation exclusive des certificats de clé publique provenant d’autorités de certification de l’union européenne.

  • La gestion des incidents liés à la sécurité de l’information, nécessitant une documentation exhaustive et l’application stricte d’une procédure permettant d’apporter des réponses rapides et efficaces en cas d’incidents de sécurité.

  • La continuité d’activité, comprenant la mise en place de procédures strictes permettant d’assurer la continuité d'activité afin de maintenir ou de restaurer l’exploitation du service et de garantir la disponibilité des informations en cas d’incident. Elle oblige également l’entreprise à proposer un service fiable de sauvegarde des données.

  • La conformité, imposant, entre autres, l’identification et le respect continu (avec justifications) de l’ensemble des exigences légales et contractuelles existantes, notamment en matière de protection des données personnelles. Elle requiert également l’organisation d’audits réguliers, une fois l’évaluation initiale effectuée.

Nous allons nous arrêter ici pour ne pas vous perdre dans les détails, mais n’hésitez pas à consulter directement le référentiel SecNumCloud, si vous souhaitez en savoir plus.

Quelles sont les principales évolutions du référentiel SecNumCloud 3.2 par rapport aux versions précédentes ?

La version 3.2 du référentiel SecNumCloud de l'ANSSI, publiée en mars 2022, apporte plusieurs mises à jour et ajouts significatifs.

Parmi les principales évolutions, on note une clarification de la notion de "composition de services", qui simplifie le processus de qualification des prestataires s’appuyant sur des briques ou services déjà qualifiés. Dans le cas d’un PaaS proposant une solution IaaS déjà qualifiée (comme Scalingo !), on se concentrera donc uniquement sur la partie PaaS et ses intéractions avec le IaaS. Plus besoin de qualifier la totalité de la chaîne de traitement de données jusqu’au datacenter !

Un autre aspect marquant est l'intégration de nouvelles exigences concernant certaines catégories de services cloud, telles que les conteneurs en tant que service (CaaS).

Mais le grand changement réside surtout dans l’ajout de critères de protection spécifiques vis-à-vis des lois extra-européennes, notamment le Fisa (Foreign Intelligence Surveillance Act) et le Cloud Act, considérés comme des menaces potentielles pour la sécurité des données européennes.

Ces nouvelles exigences visent à renforcer la résilience des prestataires de services cloud face à des cadres législatifs américains souvent perçus comme des risques pour la confidentialité des données.

Cette version 3.2 souligne ainsi l'importance de ne pas être soumis à des lois en dehors de l'Union européenne, accentuant ainsi la nécessité d'une approche sécurisée et souveraine dans le traitement des données cloud.

🤓 Point culture : C’est avec cette version 3.2 de SecNumCloud, et notamment cette volonté de ne plus être soumis aux lois extra-européennes, qu’est né, en 2022, le label "Cloud de confiance" imaginé par Bruno Le Maire. Mais ne nous perdons pas, nous prendrons le temps d’écrire un article complet à ce sujet prochainement.

La qualification SecNumCloud est-elle facile à obtenir ?

Doit-on considérer SecNumCloud comme une simple "qualification de courtoisie", comme on l’entend parfois ?

Vous l’avez probablement déjà compris en lisant cet article : le référentiel SecNumCloud est extrêmement complet et les prestataires cloud qui ont d’ores et déjà franchi le cap, sont unanimes quant à l'exceptionnelle complexité de la démarche (et également des coûts associés, mais ça, c’est un autre sujet !)

La quantité de règles et de normes à respecter et à documenter font de SecNumCloud la qualification la plus stricte en Europe à ce jour. En comparaison, les équivalents allemands (C5) et espagnols (ENS) restent beaucoup plus accessibles.

Notre CEO, Yann Klis, illustre régulièrement cette complexité en comparant la certification ISO 27001 (que nous avons obtenu en 2022), à la qualification SecNumCloud. Pour reprendre ses termes : "Si le niveau de complexité pour obtenir la certification ISO 27001 était de 1, obtenir la qualification SecNumCloud sera alors de 10". De quoi bien nous préparer au long parcours de qualification qui nous attend…

Les efforts et investissements nécessaires (qui vont des certifications aux licences en passant par la main-d'œuvre qualifiée) sont également significatifs. Mais cela n'entame en rien notre détermination à devenir le premier PaaS français qualifié SecNumCloud !

Comment obtenir le visa SecNumCloud?

Pour obtenir la qualification SecNumCloud, il faut suivre un processus dit de "qualification". Loin d’être un long fleuve tranquille, il implique (heureusement, dira t-on) plusieurs étapes rigoureuses, appelées “jalons”, afin de garantir le respect le plus strict des normes de sécurité établies par l’ANSSI.

Voici une vue d'ensemble générale du processus :

📁 J0 : Soumission du dossier Le jalon J0 est l’étape qui marque le début du processus de qualification. Le prestataire remet un dossier de candidature à l’ANSSI qui l’étudie afin de valider ou non son éligibilité. Ce n’est qu’après cette validation que l’on apparaît dans la liste des prestataires en cours de qualification.

🕵️‍♀️ J1 : Élaboration du processus d’évaluation Suite à l’acceptation du dossier par l’ANSSI, le prestataire prend contact avec le centre d’évaluation en charge de son audit afin d’élaborer une stratégie d’évaluation en adéquation avec les produits et services proposées. C’est le jalon J1.

🛠️ Phases opérationnelles : Entre le jalon J1 et J2, ont lieu plusieurs étapes intermédiaires cruciales, appelées "phases opérationnelles". Elles comprennent notamment :

  • L’audit Initial : Un premier audit réalisé pour évaluer la conformité de l’infrastructure et des procédures de sécurité par rapport aux normes requises. Cela peut inclure l'examen des politiques de sécurité, des mesures de contrôle d'accès en place, des mécanismes de cryptage, etc.

  • Les mises à Niveau de Sécurité : Sur la base des résultats de l'audit initial, des recommandations peuvent être formulées pour améliorer encore davantage la sécurité de l’infrastructure. Le prestataire évalué doit alors effectuer les mises à niveau nécessaires pour se conformer aux normes.

🤺 J2 Audit Final Une fois ces mises à niveau réalisées, on passe au jalon 2, où un audit final est effectué pour vérifier que toutes les exigences de sécurité sont désormais correctement implémentées. Cette étape est clé pour garantir la conformité totale !

J3 Validation par l'ANSSI Les résultats des audits sont enfin soumis à l'ANSSI pour validation. L'agence évalue les informations fournies et prend la décision finale quant à l'attribution ou non du Visa SecNumCloud. Si tout se passe bien, une publication formelle est alors réalisée sur le site de l’ANSSI. C’est le jalon 3 !

Maintien de la Conformité Une fois la qualification obtenue, pas question de se reposer pour autant. Rappelez-vous, il faut ensuite faire en sorte de maintenir en permanence des mesures de sécurité conformes aux normes établies. Un suivi annuel, sous forme d’audit, est donc obligatoire. Enfin, il ne faut pas oublier que, malgré ce suivi, la qualification SecNumCloud reste valide 3 ans seulement. Le processus de renouvellement comprend ces quatre mêmes jalons !

Quelles aides du gouvernement pour l’obtenir ?

Conscient que le processus d'obtention de ce Visa peut être exigeant et coûteux, en particulier pour les startups et PME, le gouvernement a ouvert un dispositif d’accompagnement pour les entreprises. Doté d'une enveloppe de 3,5 millions d'euros, ce dispositif fait partie de la stratégie cloud de France 2030.

L'initiative vise à lever les obstacles pour les startups et PME en offrant un accompagnement tout au long de la préparation à la qualification. Cela inclut un audit initial pour évaluer le niveau de maturité de l'entreprise, des services de conseil (élaboration d'un plan de développement et préparation à la qualification), ainsi qu'un soutien financier pour la qualification elle-même.

Le guichet d’accès à ce dispositif, lancé le 22 décembre 2022, est géré par Bpifrance en collaboration avec l'ANSSI et la Direction Générale des Entreprises (DGE). Les startups et PME peuvent ainsi bénéficier de cet accompagnement depuis le 15 février 2023, avec une première relève ciblant en priorité celles qui souhaitaient commercialiser une offre qualifiée SecNumCloud dans les deux ans.

Existe-t-il à ce jour des PaaS qualifiés SecNumCloud?

Eh non, à ce jour, aucune Plateforme en tant que Service (PaaS) n’a obtenu la qualification SecNumCloud. Mais s’il vous semble avoir déjà vu le nom de Scalingo associé à ce label, vous n’avez pas tort. On vous explique :

Pour faire simple, Scalingo dispose aujourd’hui de deux certifications à son nom : la certification ISO 27001, qui évalue l’efficacité du système de sécurité général de notre organisation, et la certification HDS (Hébergement de Données de Santé), qui garantit notre capacité à héberger des données de santé à caractère personnel en toute sécurité. En parallèle, nous travaillons actuellement sur le processus d’obtention de notre propre qualification SecNumCloud.

Notre fournisseur Outscale nous donne, néanmoins, d’ores et déjà accès à un IaaS qui est, lui, déjà qualifié : Il s’agit de la deuxième région que nous proposons à nos utilisateurs : osc-secnum-fr1.

Cela signifie que bien que Scalingo ne soit pas qualifié SecNumCloud (pour le moment), tous nos services peuvent être proposés sur un IaaS qualifié SecNumCloud. Une possibilité dont profite aujourd’hui un grand nombre de nos clients issus du secteur public ou évoluant dans le secteur de la santé.

Quand Scalingo va-t-elle obtenir sa propre qualification ?

Chez Scalingo, nos équipes sont déjà en pleine préparation de notre candidature (c.f le jalon J0 que nous avons évoqué ci-dessus). Le processus étant plutôt très long et complexe, nous ne pouvons pas vous fournir de date précise quant à l’obtention.

En attendant ce graal, nos certifications HDS et ISO 27001 attestent déjà de notre engagement continu envers la protection des données, même les plus sensibles, et garantissent notre capacité à héberger, de façon sécurisée, les données sensibles de santé.

Pour quelles raisons souhaitons-nous être labellisés SecNumCloud ?

Notre volonté d’obtenir la qualification SecNumCloud s'inscrit dans une démarche globale visant à renforcer la confiance de nos clients et à garantir un niveau élevé de sécurité pour toutes les données hébergées sur notre plateforme. Cela a toujours été au cœur de notre mission !

Pour nous, cette démarche va au-delà de la simple conformité ; elle représente notre volonté d'assurer une sécurité optimale pour les données de nos utilisateurs, qu’elles soient, par ailleurs, sensibles ou non.

Cette qualification nous ouvrirait également des opportunités pour des projets dans des secteurs ultra-sensibles comme la défense, où la protection des données est cruciale, et la qualification SecNumCloud exigée.

La qualification SecNumCloud ne va t-elle pas devenir obsolète face à la future certification européenne “EUCS” ?

À terme, il est possible que la certification EUCS (European Cybersecurity Certification Scheme for Cloud Services) remplace l’ensemble des labels européens actuels, dont les français, "SecNumCloud" et "Cloud de Confiance". Mais cela ne signifie pas que l’obtention de la qualification SecNumCloud est sans intérêt, bien au contraire !

Depuis 2019, la France est fortement impliqué sur le sujet d’une certification européenne, et le référentiel SecNumCloud sert d'ailleurs de référence pour le niveau le plus élevé de la qualification EUCS.

Il s’agira donc plutôt à terme, de basculer vers l’EUCS, et les entreprises ayant déjà obtenu leur qualification SecNumCloud auront alors une belle longueur d’avance.

Existe-t-il une liste des prestataires cloud qualifiés SecNumCloud?

Oui, vous pouvez découvrir la liste complète des prestataires actuellement qualifiés SecNumCloud sur le site officiel du gouvernement, à l’adresse suivante :

https://cyber.gouv.fr/produits-services-qualifies.

Vous y trouverez notamment notre partenaire Outscale, et bientôt, Scalingo !

Conclusion

Nous espérons que cet article à répondu à certaines de vos interrogations au sujet de la qualification SecNumCloud ! Pour approfondir davantage certains points spécifiques, nous prévoyons la rédaction d’articles annexes au cours des prochaines semaines. Restez donc à l’écoute pour plus de détails et d’informations approfondies.

Partager l'article
Jennifer Taylor
Jennifer Taylor
Growth Marketing Manager chez Scalingo, Jennifer explore le vaste territoire des PaaS et de l'industrie du cloud, nourrissant son expertise par des lectures pointues et des discussions enrichissantes avec des experts du secteur. Elle se fait un plaisir de vous partager les connaissances ainsi acquises.
Lire les autres articles de l'auteur
#SecNumCloud

Ces articles pourraient vous intéresser

Voir plus d'articles
La sécurité des applications chez Scalingo #1 : Asgard
Article
• 10 minutes de lecture
La sécurité des applications chez Scalingo #1 : Asgard
Lire l'article
Nouveau sur Scalingo : Redis 7
• 3 minutes de lecture
Nouveau sur Scalingo : Redis 7
Lire l'article
Guide pour déployer Keycloak sur Scalingo
Article
• 10 minutes de lecture
Guide pour déployer Keycloak sur Scalingo
Lire l'article
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Article
• 5 minutes de lecture
Scalingo, premier PaaS français et européen certifié ISO 27001 et HDS
Lire l'article
Life at Scalingo #3 : Rituels des équipes en remote
• 15 minutes de lecture
Life at Scalingo #3 : Rituels des équipes en remote
Lire l'article

Essayez gratuitement Scalingo

Demandez une démo
30 jours d'essai gratuit / Pas de CB nécessaire / Hébergé en France