Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.
SecNumCloud : une qualification de sécurité
En 2016, l’ANSSI (Agence nationale de la sécurité des systèmes d’informations) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Les catégories d’audit et exigences
Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.
Parmi eux :
- la mise en place de politique de sécurité du système d’information et de gestion du risque,
- le chiffrement des données stockées
- l’identification, la gestion et la conformité dans la relation avec les tiers
- la gestion des actifs et des identités numériques et physiques
- la gestion des incidents et les garanties de continuité d’activité
Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.
Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
SecNumCloud au cœur des débats sur l’EUCS et la loi SREN
La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.
Par ailleurs, la suppression du critère de souveraineté du projet de schéma de certification européen EUCS a provoqué l’indignation de nombreux pays de l’UE. La France s’élève pour que la certification SecNumCloud soit intégrée dans le niveau le plus élevé de la certification EUCS.
Pourquoi choisir un opérateur qualifié SecNumCloud ?
Minimiser les risques de sécurité
L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque robustes, avec une attention particulière portée à l’organisation de la gouvernance interne, à la sécurité des ressources humaines impliquées, à la sauvegarde des données ou encore à la maintenance.
La qualification SecNumCloud offre ainsi des garanties fortes en matière de continuité d’activité et de disponibilité de service.
De plus, les relations avec des tiers font l’objet de mesures de sécurité strictes et spécifiques. En effet, l’opérateur SecNumCloud doit pouvoir identifier clairement l’ensemble de ses parties prenantes et opérer un suivi des changements dans ses relations, tout en s’assurant de la confidentialité des données échangées. Cela permet de limiter les failles de sécurité d’origine externes, dans un contexte de multiplication des supply chain attack.
Renforcer la souveraineté
Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français et limite les risques d’espionnage industriel.
Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.
TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud
Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.
Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.
Découvrir l’offre TixeoPrivateCloud
