Cloud souverain : certifier les prestataires avec SecNumCloud

Le référentiel « SecNumCloud », créé en 2016 par l’ANSSI, permet de qualifier les prestataires de services de cloud computing, également appelés « cloud », dans le but de promouvoir, d’enrichir et d’améliorer l’offre de prestataires de services de confiance auprès des entités publiques et privées. souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information.

La version 3.2 du référentiel des exigences applicables aux prestataires vient d’être publiée par l’ANSSI grâce à la forte mobilisation de la communauté qui a partagé plus de 450 observations du monde entier lors de l’appel à commentaires ouvert.

Cette certification atteste de la fiabilité, de la compétence et de la confiance du service. Il atteste également de sa qualité et de la robustesse.

Protéger mieux grace à SecNumCloud

La version 3.2 de SecNumCloud clarifie les normes de protection par rapport au droit extra-européen. Par conséquent, ces exigences garantissent que ni le fournisseur de services cloud ni les données qu’il traite ne sont soumis à des lois non européennes.

De plus, SecNumCloud 3.2 précise la nécessité de mettre en place des tests d’intrusion tout au long du cycle de vie de la qualification et prend en compte les retours d’expérience des évaluations initiales. Concernant les solutions déjà qualifiées par SecNumCloud, elles conservent leur visa de sécurité, et l’ANSSI accompagnera les entreprises concernées si nécessaire pour assurer la transition.

Tous les services cloud sont qualifiés sous SecNumCloud. En effet, la qualification est adaptable aux différentes offres, notamment SaaS (Software as a Service), PaaS (Platform as a Service), et IaaS (Infrastructure as a Service)… Par ailleurs, la qualification d’une offre SaaS qui s’appuie sur une base déjà reconnue SecNumCloud se concentrera uniquement sur les développements spécifiques au service, bénéficiant du travail général effectué sur le niveau de sécurité de la base qualifiée, facilitant ainsi l’évaluation.

Conforme aux recommandations françaises pour un haut niveau de certification des fournisseurs de services cloud en Europe.

Une harmonisation des mécanismes d’évaluation au niveau européen est en cours pour éviter la fragmentation du marché, et mettre en œuvre la loi Cybersécurité de 2019. Depuis 2019, la France a joué un rôle important dans la création de l’EUCS, ou système européen de certification des fournisseurs de services cloud. SecNumCloud 3.2 est pleinement cohérent avec les travaux européens dans ce cadre et sert de référence dans les travaux sur le niveau « haut » de cette certification potentielle.

Dans sa décision « Schrems II », la Cour de justice de l’Union européenne a rappelé la nécessité d’assurer une protection comparable à celle prévue par le règlement général sur la protection des données (RGPD) lors du transfert d’informations personnelles concernant des citoyens européens en dehors de l’Union européenne (UE) .

En outre, et indépendamment d’éventuels transferts, certaines lois extraterritoriales qui n’offrent pas un niveau de protection substantiellement équivalent à celui garanti par le RGPD peuvent être applicables aux données stockées par les fournisseurs de cloud sur le territoire de l’UE.

Pour en savoir plus :
L’annonce de l’ANSSI