.svg)
L’adoption du cloud continue de se généraliser dans les entreprises. La dernière étude publiée par Flexera montre que désormais 71% des entreprises interrogées recourent massivement à des services cloud, souscrits auprès de multiples fournisseurs (approche multicloud).
Si la maîtrise des coûts et la disponibilité de ressources qualifiées sont des préoccupations importantes lors de la souscription d’un service cloud, la cybersécurité et la protection des données apparaissent comme des éléments prépondérants dans le choix d’un fournisseur de cloud.
Ainsi, la qualification SecNumCloud mise en place par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a pour objet d’harmoniser les pratiques des fournisseurs de cloud et de leur permettre de démontrer leur capacité à opérer leurs solutions avec un niveau de sécurité maximal.
Pourquoi souscrire un service qualifié SecNumCloud ?
L’intérêt le plus évident concerne la sécurité du service et des données qu’il héberge dans ce cloud. Un service qualifié intègre par conception un nombre important de mesures qui permettent de se conformer rapidement à de nombreux prérequis en matière de sécurisation et de confidentialité des données.
La qualification SecNumCloud protège également des lois à portée extraterritoriale de pays hors Union Européenne, comme les FISA Reform and Reauthorization Act et Cloud Act américains par exemple. La révision 3.2 du référentiel SecNumCloud de 2022 intègre entre autres des clauses relatives à la localisation de l’exploitation et de l’administration des systèmes et des données, ainsi que des clauses limitant la part du capital social du fournisseur détenue par une entité hors Union Européenne. En synthèse, SecNumCloud doit être considéré comme un rempart contre l’espionnage industriel pour les entreprises qui construisent leur cloud de confiance.
Enfin, au-delà de l’aspect sécuritaire stricto sensu, le choix d’un service cloud qualifié SecNumCloud est un gage de sérieux sur le traitement des données et peut donner un avantage concurrentiel. Il contribue également à l’adoption rapide, sécurisée et fiable du cloud.
Qui sont les candidats à la qualification SecNumCloud ?
La qualification SecNumCloud intéresse tous les fournisseurs de services cloud. Elle porte sur 4 niveaux de service :
- IaaS (infrastructure),
- CaaS (conteneurs),
- PaaS (plateformes),
- SaaS (applications).
Le fournisseur peut être une entité autonome, adressant plusieurs clients (cloud public) ou être une structure intégrée dans un groupe, destinée à ne servir que les entités internes du groupe (cloud privé).
La qualification peut également porter sur un sous-ensemble des activités du fournisseur. Par exemple, un éditeur de solutions SaaS peut choisir de ne qualifier qu’une partie de ses applications. Il doit en revanche déposer autant de dossier que de solutions à qualifier.
Comment obtenir la qualification SecNumCloud ?
Le délai et la difficulté et le coût d’obtention de la qualification SecNumCloud dépendent bien entendu des niveaux de sécurisation et de maturité du candidat mais également de la portée du service à qualifier (IaaS / CaaS / PaaS / SaaS). La révision 3.2 du référentiel introduit à cet effet le principe de composition de services : la qualification d'un service SaaS est simplifiée quand ce service s'appuie sur une infrastructure IaaS déjà qualifiée.
Néanmoins, l’obtention de la qualification est en règle générale un processus long (supérieur à 18 mois), complexe (plus de 350 exigences, autour de la sécurité de l’information, de la gestion du risque, de la gestion des incidents de sécurité, de la continuité d’activité, …) et coûteux. L’ANSSI recommande à ce titre d’être accompagné par un cabinet qualifié PASSI tout au long du processus de qualification.
Le parcours de qualification est ponctué de jalons, qui sont autant de points de contact avec l’ANSSI et qui guident le candidat tout au long du processus :
- Le jalon J0 marque le début du processus avec la remise d’un dossier de candidature à l’ANSSI qui, après étude, valide son éligibilité. A l’issue du J0, le prestataire peut s’il le souhaite apparaître sur le site de l’ANSSI comme prestataire en cours de qualification.
- Le jalon J1 est franchi avec le choix de l’organisme de certification et l’établissement d’une stratégie d’évaluation du service.
- Les phases opérationnelles sont les plus longues du processus. Elles consistent à réaliser un premier audit de conformité qui débouche sur un plan de remédiation et de mise à niveau pour couvrir l’ensemble des exigences. Une fois réalisées, l’audit final permet de valider le jalon J2.
- Le jalon J3 est celui de la validation par l’ANSSI et marque l’obtention finale de la qualification SecNumCloud.
Si le franchissement du jalon J3 apparaît comme un aboutissement du projet de qualification, il marque également le démarrage de la phase de maintien du niveau de conformité. La qualification SecNumCloud est valide 3 ans, mais s’accompagne d’audits annuels obligatoires. A l’expiration de la qualification, le processus de renouvellement reprend ces 4 jalons, qui théoriquement sont validés plus rapidement… mais qui peuvent également nécessiter de nouveaux investissements et adaptations.
Il est donc fondamental d'avoir à l’esprit les difficultés et les coûts importants induits par cette qualification et d’en apprécier la nécessité et le bénéfice attendu avant de se lancer. Le cloud est hybride et SecNumCloud peut être limité à une partie de cet environnement.
Existe t-il un équivalent européen au SecNumCloud ?
Depuis 2019, la France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS), en portant au niveau européen les critères et exigences prévus par SecNumCloud. Le schéma EUCS n’est pas finalisé à ce jour et fait l’objet d’âpres discussions au Parlement et à la Commission Européenne.
Les intérêts divergents des pays membres de l’Union s'affichent notamment sur les critères de souveraineté et la soumission aux lois extraterritoriales. Irlande, Pays-Bas et Allemagne – pays qui hébergent les principales plateformes européennes des fournisseurs de cloud public américains (AWS, Microsoft Azure, Google ou encore Oracle) – sont favorables à un assouplissement des critères, arguant d’un risque sur les partenariats stratégiques avec les Etats-Unis, le Japon et d’autres pays.
La France, pour l'instant, tient le cap et s’oppose à la suppression des critères de souveraineté dans l’EUCS. Dans l’attente du texte définitif, l’ANSSI a publié début juillet 2024 des recommandations pour l’hébergement dans le cloud des systèmes d’informations sensibles. Elle décrit quatre critères à considérer à minima dans une étude d’impact avant d’envisager toute migration vers le cloud, dont les risques juridiques liés à la portée extraterritoriale des lois.
Les industriels montent également au créneau et 18 sociétés (dont Airbus, OVHCloud et Dassault Système) ont publié une lettre ouverte le 10 avril 2024 « exhortant les États membres à rejeter toute proposition dépourvue de critères de souveraineté ». Ils rejoignent ainsi Guillaume Poupard, ancien Directeur Général de l'ANSSI et actuel Directeur Général Adjoint de Docaposte qui avait alerté très tôt sur les risques d'abandon de souveraineté numérique dans l'EUCS et, avec la primauté du droit européen, des conséquences à venir au niveau national et l'abandon forcé de SecNumCloud.
Le Parlement Européen renouvelé, il faut désormais attendre que la nouvelle Commission ne soit constituée avant la reprise des discussions. La reconduction d'Ursula von der Leyen à sa tête n'est pas un signe encourageant quand on se souvient des négociations sur le Data Privacy Framework en 2022...
Comment l'Etat encourage l'adoption de SecNumCloud ?
Dans le cadre du plan d’investissement France 2030, l’Etat accompagne en priorité les PME souhaitant commercialiser une offre qualifiée SecNumCloud sous 2 ans, qui ciblent un marché dont les clients ont besoin de recourir à des offres qualifiées, et dont les statuts et les modalités de contrôle ne sont pas manifestement incompatibles avec le référentiel SecNumCloud.
Le dispositif comprend 4 modules, avec un montant d’aide plafonné par l’Etat à 40.000 € par module :
- Module 1 : Audit initial sur l'ensemble du spectre de SecNumCloud pour évaluer les écarts et mesurer le niveau cyber.
- Module 2 : Formule "transformation" s'appuyant sur le guide d'hygiène comprenant des actions concrètes à implémenter et permettant de préparer la démarche de qualification
- Module 3 : Formule " conformité " en sortie de la formule transformation ou pour les acteurs matures. Elle accompagne la mise en conformité vis-à-vis des exigences du référentiel
- Module 4 : Aide à la qualification
Les modules d’accompagnement sont délivrés par des PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information).
L’obtention des aides est soumise à un processus de sélection, via le dépôt d’un dossier de candidature auprès de BPI France.
Les critères d’éligibilité portent sur :
- Les caractéristiques de l’offre : PaaS ou SaaS avec un objectif de qualification dans un délai de 2 ans
- L’entreprise candidate au dispositif : PME française, respectant les exigences du référentiel SecNumCloud sur la répartition du capital social.
Les critères de sélection portent sur :
- La pertinence de l’offre : cohérence du besoin de qualification, crédibilité technique à atteindre la qualification, contribution à la diversité et à la complémentarité des offres du catalogue SecNumCloud, business case, planning…
- Le porteur de l’offre : pertinence vis-à-vis du marché visé, engagement de la Direction dans le projet.
Le référentiel SecNumCloud est ainsi un incontournable pour toute entreprise qui souhaite construire et se déployer sur un environnement cloud de confiance. Le processus est long, complexe, coûteux et le projet de qualification peut être rapidement remis en question s'il n'est pas encadré et piloté. Avangarde Consulting agit à vos côtés, en tant que partenaire qualifié PASSI, et vous accompagne tout au long de la démarche :
- Définition du périmètre SecNumCloud et choix de la portée du service.
- Déroulement du processus de J0 à J3 et pilotage des phases opérationnelles.
- Facilitation des échanges avec l'ANSSI et l'organisme de certification retenu en J1.
- Assistance dans la rédaction du dossier de financement par BPI France.
- Audits annuels pour le maintien de la qualification SecNumCloud.
