Blog - Lockself

SecNumCloud : pourquoi utiliser des solutions qualifiées par l’ANSSI ?

Rédigé par LockSelf | 10 juillet 2024

Le label SecNumCloud est une qualification de sécurité délivrée par l’ANSSI, à destination des opérateurs cloud. Il propose un ensemble de règles de sécurité à suivre, garantissant un haut niveau d’exigence d’un point de vue technique, opérationnel et juridique. Les solutions qualifiées SecNumCloud justifient donc du plus haut niveau de sécurité à l’échelle française. Découvrez tout ce qu’il faut savoir sur ce label, ses avantages, et les démarches mises en place pour l’obtenir.

 

Qu'est-ce que le SecNumCloud ?

 

SecNumCloud : définition

 

Le SecNumCloud est un label de sécurité délivré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), l'autorité française chargée de la défense et de la promotion de la sécurité des systèmes d'information. Ce label est conçu pour évaluer et certifier les services de cloud computing en termes de sécurité, garantissant ainsi qu'ils respectent des normes strictes en matière de protection des données et des infrastructures. 

 

SecNumCloud a été lancé en 2016, puis révisé en 2018 pour atteindre la version 3.2 actuellement en vigueur. Cette qualification représente une évolution du label Secure Cloud introduit par l’ANSSI en 2014. Basé sur la norme ISO 27001, qui établit les exigences et bonnes pratiques pour la gestion de la sécurité de l’information, SecNumCloud intègre également des exigences supplémentaires spécifiques aux fournisseurs de services cloud.

 

L'ANSSI, créée en 2009, joue un rôle central dans la sécurisation des systèmes d'information en France. Elle propose des recommandations, des certifications et des labels comme le SecNumCloud1, pour renforcer la résilience des entreprises et des administrations face aux cybermenaces.

 

Les objectifs du SecNumCloud

 

Le SecNumCloud poursuit plusieurs objectifs pour assurer la sécurité et la confiance dans les services cloud :

 

1. La protection des données sensibles, en garantissant que les données hébergées dans le cloud sont protégées contre les accès non autorisés, les fuites de données et les cyberattaques.

2. La conformité réglementaire, en s'assurant que les services cloud certifiés respectent les réglementations en vigueur, notamment le Règlement Général sur la Protection des Données (RGPD) en Europe.

3. La transparence et la confiance, en offrant aux utilisateurs une visibilité sur les mesures de sécurité mises en place par les fournisseurs de services cloud.

4. La résilience des infrastructures, en maintenant la continuité des services en cas d'incidents de sécurité, grâce à des infrastructures robustes et des plans de reprise d'activité efficaces.

5. La promotion des bonnes pratiques cyber, en encourageant les fournisseurs de services cloud à adopter des pratiques exemplaires en matière de sécurité.


Le label SecNumCloud constitue donc un gage de qualité et de sécurité pour les entreprises et les administrations souhaitant recourir à des services cloud. Cette certification permet de réduire les risques associés à la cybercriminalité et de renforcer la confiance dans les solutions numériques, tant d’un point de vue légal qu’opérationnel.

 

Pourquoi opter pour des solutions qualifiées SecNumCloud ? 

Garantir la sécurité interne

 

Depuis 2020, 79% des entreprises ayant des données dans le cloud ont subi au moins une cyberattaque2.

À l’image de plusieurs certifications de l’ANSSI, utiliser des outils qualifiés SecNumCloud garantit que le service respecte des normes de sécurité élevées. Ces normes assurent une protection rigoureuse contre les accès non autorisés, les fuites de données et les cyberattaques. L'implémentation de telles solutions conduit à une gestion améliorée des risques et renforce la résilience face aux menaces numériques.

 

Assurer la conformité réglementaire

 

Les solutions qualifiées SecNumCloud aident les organisations à se conformer aux exigences réglementaires, notamment le RGPD en entreprise. Cette mise en conformité est indispensable pour éviter les lourdes amendes et les sanctions juridiques qui peuvent découler d'une gestion inadéquate des données personnelles. En adoptant des services certifiés, les entreprises peuvent démontrer leur engagement envers la protection des données, ce qui est un atout de taille pour maintenir la confiance de leurs clients et partenaires.


Favoriser l'accès aux marchés sensibles

Pour collaborer avec des organismes publics et des industries sensibles comme la santé et la défense, l'utilisation de solutions qualifiées SecNumCloud est souvent requise. Ces secteurs nécessitent en effet des niveaux de sécurité et de confidentialité extrêmement élevés. En utilisant des outils certifiés, les entreprises peuvent accéder à ces marchés et répondre aux attentes strictes en matière de sécurité, ouvrant ainsi de nouvelles opportunités commerciales. Cela leur permet de se positionner comme des partenaires fiables et sécurisés, ce qui est indispensable pour les projets critiques.

Réduire les risques cyber

 

L'adoption de solutions qualifiées SecNumCloud diminue considérablement les risques de violation de données et d'incidents de sécurité. Cette réduction des risques se traduit par une protection accrue des informations sensibles, renforçant ainsi la réputation et la confiance auprès des clients et partenaires. 

 

Par exemple, chez LockSelf nous avons fait le choix de travailler avec des hébergeurs certifiés SecNumCloud pour maximiser la sécurité des données de nos clients. Ce choix illustre notre engagement à leur offrir une protection optimale, garantissant que les données restent sécurisées et confidentielles.

 

Retrouvez tous les prestataires certifiés SecNumCloud sur la page officielle de l’ANSSI.

 

Qui est concerné par la certification SecNumCloud ?

Les fournisseurs de services cloud

 

La certification SecNumCloud est destinée aux fournisseurs de services cloud, en particulier ceux proposant les services suivants :

 

  • Infrastructure en tant que service (IaaS) : fourniture d'infrastructures informatiques comme les serveurs, le stockage et les réseaux.

  • Plateforme en tant que service (PaaS) : offre de plateformes permettant aux développeurs de créer, déployer et gérer des applications sans avoir à piloter l'infrastructure sous-jacente.

  • Logiciel en tant que service (SaaS) : mise à disposition d'applications accessibles via Internet, comme les logiciels de gestion de projet ou les suites bureautiques.

  • Conteneur en tant que service (CaaS) : mise à disposition d’outils pour déployer et orchestrer des conteneurs. Le prestataire gère l'infrastructure sous-jacente (réseau, stockage, serveurs, systèmes d’exploitation), alors que le client contrôle les outils systèmes, bibliothèques, intergiciels et le code de l'application.

Les entreprises spécialisées dans les solutions de sécurité cloud sont également concernées. 

En obtenant cette certification, ces fournisseurs prouvent qu'ils respectent des normes de sécurité strictes, ce qui renforce leur crédibilité et les rend plus attractifs pour les clients soucieux de la protection de leurs données.

 

Les clients et les utilisateurs

 

Les organismes publics, les opérateurs d'importance vitale (OIV) et les entreprises manipulant des données sensibles constituent une autre catégorie concernée par la qualification SecNumCloud. Pour ces entités, la sécurité des données est primordiale. En choisissant des fournisseurs de services cloud certifiés, elles s'assurent que leurs données sont protégées selon les standards de sécurité les plus rigoureux, réduisant ainsi les risques de violations et de cyberattaques. Ce label leur offre également une tranquillité d'esprit et une confiance accrue dans la gestion de leurs informations sensibles.

 

Les partenaires et les intégrateurs

 

Les partenaires, comme les intégrateurs de systèmes et les consultants en cybersécurité, jouent un rôle central dans la mise en œuvre et la gestion des solutions cloud. La certification SecNumCloud leur permet de proposer à leurs clients des services cloud conformes aux normes de sécurité les plus strictes. En collaborant avec des fournisseurs certifiés, ils peuvent garantir que les solutions qu'ils déploient sont robustes et fiables, ce qui est essentiel pour maintenir la sécurité des infrastructures de leurs clients.

 

Les régulateurs et les auditeurs

 

Enfin, les régulateurs et les auditeurs de sécurité sont également concernés par la certification SecNumCloud. Les autorités de régulation doivent s'assurer que les services cloud utilisés par les entreprises respectent les normes de sécurité nationales et internationales. Les auditeurs de sécurité, quant à eux, ont pour mission d'évaluer et vérifier la conformité des services cloud aux standards de sécurité. La certification SecNumCloud leur fournit une référence claire et reconnue, facilitant ainsi leur travail de contrôle et d'audit.

Quelles sont les exigences de sécurité du SecNumCloud ?

 

 

Pour obtenir la certification SecNumCloud, les prestataires de services cloud doivent se conformer à un ensemble de critères stricts définis par l'ANSSI. Voici un résumé des exigences selon le référentiel SecNumCloud version 3.2 :

 

1. Système de management de la sécurité de l'information (SMSI) : les prestataires ont l’obligation de mettre en place un SMSI conforme à la norme ISO/IEC 27001, comprenant :

  • Une politique de sécurité de l'information qui définit les objectifs et les directives de sécurité

  • Des objectifs clairs et mesurables en matière de sécurité de l'information, approuvés par la direction.

  • Des audits de sécurité internes réguliers pour s'assurer de l'efficacité du SMSI et prendre des mesures correctives si nécessaire.

2. Organisation de la sécurité de l'information : les prestataires doivent définir clairement les rôles et responsabilités de chacun en matière de sécurité de l'information, incluant :

  • La désignation d'un Responsable de la Sécurité des Systèmes d'Information (RSSI).

  • La sensibilisation et la formation continue du personnel aux bonnes pratiques cyber, afin de maintenir un haut niveau de vigilance et de compétence en matière de sécurité. En effet, en 2023, 64% des cyberattaques réussies dans les entreprises françaises étaient dues au clic d’un collaborateur sur un mail de phishing.3

 

3. Sécurité des ressources humaines : la sécurité doit être intégrée dans la gestion même des ressources humaines, avec :

  •  La vérification des antécédents des employés avant leur embauche pour évaluer les risques.

  • Une gestion rigoureuse des accès aux systèmes, afin qu’ils soient révoqués immédiatement lors du départ d'un collaborateur. Le but est de prévenir tout risque de fuites d'information et de comptes fantômes. Cela apparaît comme une nécessité absolue, lorsqu’on sait que selon le dernier Data Breach Investigations Report , 32% des intrusions en entreprise impliqueraient l'utilisation de comptes compromis, dont certains seraient des comptes fantômes.4


4. Gestion des actifs : les prestataires de services cloud doivent maintenir un inventaire complet et à jour de tous les actifs, incluant :

  • L'identification des actifs, qui doivent être classifiés selon leur importance et leur sensibilité.

  • La protection des actifs, avec pour chacun d’eux un propriétaire désigné responsable de sa sécurité et de sa gestion.



5. Contrôle des accès : des contrôles d'accès strictes doivent être mis en place, pour garantir que seules les personnes autorisées puissent accéder aux systèmes et informations, incluant : 

  • Des politiques de contrôle d'accès strictes, pour définir les niveaux d'accès requis selon les différents rôles au sein de l’organisation.

  • L’utilisation de solutions de gestion des identités et des accès (IAM) pour contrôler et surveiller l'accès aux systèmes et aux données.

  • L'utilisation de l'authentification multifacteurs, pour renforcer la sécurité des accès. En effet, la MFA permettrait de stopper près de 90% des tentatives de détournement de comptes.4

  • La mise en place de journaux détaillés des accès et des activités des utilisateurs pour faciliter les audits et les enquêtes.




6. Cryptologie : les données doivent être protégées par des mécanismes de cryptographie robustes, avec : 

  • L'utilisation d'algorithmes de chiffrement reconnus pour protéger les données.

  • La gestion sécurisée des clefs de chiffrement, avec la mise en en place de procédures dédiées incluant la génération, le stockage, la distribution, et la révocation.



7. Sécurité physique et environnementale : les installations physiques doivent elles aussi être protégées contre les accès non autorisés et les possibles catastrophes environnementales. SecNumCloud impose une attention toute particulière à :

  •  La sécurité des bâtiments, avec des mesures de sécurité physiques comme des clôtures, des contrôles d'accès et des systèmes de surveillance.

  • La protection environnementale, en s’assurant que les centres de données (datacenters) soient protégés contre les incendies, inondations, et autres risques environnementaux.

 

8. Sécurité des communications : toutes les communications, internes et externes, doivent être sécurisées par les moyens suivants :

 

  • L'utilisation de protocoles de sécurité comme TLS/SSL pour protéger les données en transit. L’utilisation d’outils tels que LockTransfer permettent d’assurer la conformité à cette exigence.

  • La mise en place de systèmes de détection des intrusions pour surveiller et analyser le trafic réseau et détecter les comportements suspects.

 

9. Sécurité des systèmes d’exploitation : les systèmes d’exploitation doivent être configurés et maintenus à jour de manière sécurisée, en suivant les recommandations suivantes :

 

  • L’application systématique de toutes les mises à jour et correctifs de sécurité.

  • Une configuration optimisée des systèmes d’exploitation, pour minimiser la surface d’attaque et empêcher les configurations par défaut non sécurisées.



10. Sécurité des applications : les applications doivent être développées et maintenues selon des principes de sécurité, incluant :

  • L’utilisation de pratiques de développement sécurisées, comme l’analyse de code statique, les revues de code, et les tests de sécurité.

  • L’identification et la correction rapide des vulnérabilités dans les applications grâce à des programmes de bug bounty et des tests d’intrusion réguliers.


11. Gestion des incidents de sécurité : les prestataires doivent disposer de procédures pour détecter, signaler, et répondre aux incidents de sécurité, parmi lesquelles :

 

  • La surveillance continue, via l’utilisation systèmes de gestion des informations et des événements de sécurité (SIEM)

  • La gestion des réponses aux incidents, via la mise en place de plans de réponses aux incidents (PRI) rigoureux.

 

12. Gestion des fournisseurs et des sous-traitants : les prestataires de services cloud doivent s'assurer que leurs fournisseurs et sous-traitants respectent les exigences de sécurité, en réalisant les procédures suivantes :

 

  • L’intégration de clauses de sécurité dans les contrats avec les fournisseurs et les sous-traitants.

  • La réalisation d’audits réguliers des fournisseurs pour vérifier leur conformité aux exigences de sécurité.              



13. Continuité d’activité : les prestataires doivent élaborer et maintenir des plans de continuité d'activité (PCA) robustes, incluant : 

 

  • Des plans pour assurer la continuité des services en cas d’incidents majeurs (PCA, PRA, PCI, PRI)

  • Des tests réguliers sur chacun de ces plans, afin de s’assurer de leur efficacité.



14. Conformité légale et réglementaire : les prestataires de services cloud doivent se conformer à toutes les lois et réglementations applicables en matière de sécurité, en fournissant les preuves suivantes :

 

  • Une documentation complète des mesures de conformité appliquées au sein de l’organisation.

 

15. Sécurité des opérations : les opérations quotidiennes doivent être gérées de manière sécurisée avec :

 

  • La mise en place de processus de gestion des changements pour évaluer et approuver les modifications avant leur mise en œuvre.

  • La surveillance des systèmes via des outils dédiés, pour détecter et répondre rapidement aux incidents de sécurité.

 

 

16. Sécurité de l’environnement de développement et de production : les environnements de développement et de production doivent être séparés et sécurisés, par les moyens suivants :
  •   Des contrôles stricts pour l'accès et la gestion des environnements.

 

 

17. Sécurité de l’architecture : les architectures doivent être conçues pour minimiser les risques de sécurité. Pour ce faire, le référentiel SecNumCloud préconise de :

 

  • Réaliser des analyses de risques régulières pour identifier et traiter les vulnérabilités potentielles.

  • Mettre en œuvre des contrôles de sécurité adaptés à l'architecture du système.



18. Gestion des vulnérabilités : les prestataires doivent mettre en place des processus pour identifier, évaluer et remédier aux vulnérabilités, incluant :

 

  •   La réalisation de scans de vulnérabilités réguliers.
  •   L'application régulière des correctifs de sécurité.

 

 

Pour en savoir plus l’ensemble des exigences de cette qualification, consultez le référentiel d’exigences SecNumCloud ici.

 

 

 

Obtenir la qualification SecNumCloud : guide pratique

 

Étape 1 : préparation à la qualification

 

La première étape pour obtenir la qualification SecNumCloud consiste à préparer soigneusement le service cloud pour s'assurer qu'il respecte les standards de sécurité de l'ANSSI. Cette préparation inclut plusieurs actions :

 

- Les fournisseurs de services cloud doivent examiner et adapter leurs systèmes, politiques et procédures pour s'aligner sur les exigences de l'ANSSI. Cela peut impliquer des modifications techniques et organisationnelles importantes pour répondre aux critères de sécurité.

 

- Une documentation technique complète et précise doit être élaborée, détaillant les mesures de sécurité mises en place, les configurations systèmes, les protocoles de gestion des incidents, et toutes les autres informations pertinentes. Cette documentation a pour objectif de démontrer la conformité aux normes de l'ANSSI.

 

- Avant de soumettre la demande de qualification, il est recommandé de réaliser des tests de sécurité internes. Ces tests permettent d'identifier et de corriger les vulnérabilités potentielles, garantissant ainsi que le service cloud est robuste et conforme aux exigences de sécurité.

 

Étape 2 : demande de qualification

 

Une fois que la préparation est terminée, le fournisseur de services cloud peut soumettre une demande de qualification à l'ANSSI. Cette demande doit inclure toutes les informations et documents nécessaires pour prouver la conformité aux standards de sécurité. La soumission de cette demande marque le début officiel du processus de qualification.

 

Étape 3 : l'évaluation

 

Après la réception de la demande, un centre d’évaluation accrédité est chargé de réaliser des tests de sécurité et des audits approfondis du service cloud. Ces évaluations visent à vérifier que le service respecte les critères de sécurité définis par l'ANSSI. Les tests peuvent inclure des simulations d'attaques, des analyses de vulnérabilité, et des examens détaillés des systèmes et des procédures de sécurité.

Retrouvez la liste des centres d’évaluation accrédités par l’ANSSI pour effectuer les tests relatifs à la qualification SecNumCloud ici.

 

Étape 4 : la prise de décision

 

Une fois les tests et audits terminés, le laboratoire rédige un rapport d'évaluation complet qu'il soumet à l'ANSSI. Ce document détaille les résultats des tests et fournit une évaluation globale de la conformité du service cloud. Si le service répond à tous les critères de sécurité, l'ANSSI délivre la qualification SecNumCloud. Cette décision repose sur une analyse rigoureuse des preuves de conformité fournies par le laboratoire.

 

Étape 5 : le maintien de la qualification

 

Obtenir la qualification SecNumCloud n'est pas un aboutissement mais un engagement continu envers le maintien des standards de sécurité élevés. En effet, le visa SecNumCloud est délivré pour une durée de 3 ans, renouvelable. Pour assurer une conformité continue, les fournisseurs de services cloud doivent effectuer des tests et audits réguliers. Ces évaluations périodiques permettent de s'assurer que le service cloud continue de respecter les exigences de sécurité et de répondre aux nouvelles menaces et vulnérabilités. Le maintien de la qualification nécessite un effort constant pour surveiller, évaluer et améliorer les mesures de sécurité.

 

Vous l’aurez compris, le label SecNumCloud représente une garantie de sécurité et de confiance pour les services cloud, indispensable pour les entreprises manipulant des données sensibles. 

 

Cependant, l'obtention de la qualification ne doit pas être perçue comme une fin en soi. Pour prévenir efficacement les risques et maintenir une sécurité optimale, il est impératif de réaliser régulièrement des tests d'intrusion et des audits de sécurité. Ces mesures permettent d'identifier et de corriger les vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants, assurant ainsi la robustesse et la résilience continue des infrastructures cloud.

 

Vous souhaitez en savoir plus sur  les labels de sécurité délivrés par l’ANSSI ? trouvez la réponse à toutes vos questions sur la FAQ dédiée

 

 

 

Sources :

 

1 https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud

2
https://www.ninjaone.com/fr/blog/7-statistiques-sur-la-cybersecurite-que-chaque-pme-et-msp-doit-connaitre/

3 https://www.sfrbusiness.fr/room/securite/erreur-humaine-piratage-entreprise.html

4 https://www.verizon.com/business/resources/reports/dbir/
Voir l'article complet