Publié le 18 Août 2022 Mis à jour le 09 Juillet 2024

Cette FAQ a pour objectif d’aider les entreprises désireuses de se lancer dans la qualification SecNumCloud en apportant des clarifications et en mettant en lumière certaines exigences du référentiel.

Généralités

En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI accorde des Visas de sécurité ANSSI à des solutions, produits ou services qui démontrent un niveau élevé de sécurité et de confiance. Dans le cadre de cette démarche, l’agence a élaboré en 2016 le référentiel SecNumCloud pour permettre la qualification de prestataires de services d’informatique en nuage, dit cloud. Son objectif : promouvoir, enrichir et améliorer l’offre de prestataires de cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information.

Le référentiel SecNumCloud a été conçu sans présupposition quant aux technologies utilisées. Il s’adresse à tous les prestataires de services d’informatique en nuage désireux de démontrer leur savoir-faire, ainsi que la qualité de leurs prestations et la confiance qui peut leur être accordée. Le référentiel peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire.

Les prestataires offrant des services de type SaaS (Software as a service), PaaS (Platform as a service), IaaS (Infrastructure as a service) et CaaS (Container as a Service) tels que décrits dans le référentiel sont éligibles à une qualification SecNumCloud.

Cependant, les offres d’informatique en nuage s’enrichissant et se diversifiant, il est recommandé aux prestataires potentiellement intéressés de se renseigner avant le dépôt de leur demande auprès de l’ANSSI (industries@ssi.gouv.fr) pour une analyse préliminaire du positionnement de leur offre dans le modèle utilisé.

La qualification est valable pour une durée de 3 ans mais est conditionnée par le respect des engagements du prestataire durant toute la durée de la qualification. Une fois la qualification octroyée, celle-ci est suivie au moyen d’audits annuels de surveillance. Au terme des 3 ans, le prestataire peut demander le renouvellement de la qualification.

Les offres qualifiées SecNumCloud sont à retrouver dans la liste des produits et services qualifiés.

Les projets de qualification que les prestataires ont accepté de rendre publiques sont disponibles sur le site de l’ANSSI. En cas de suspension du projet, celui-ci est retiré de la liste.

Pour éviter la fragmentation du marché, et en application du Cybersecurity Act de 2019, une harmonisation des mécanismes d’évaluation au niveau européen est en cours. Depuis 2019, la France est fortement impliquée dans l’élaboration du schéma de certification européen relatif aux prestataires de cloud (EUCS), en portant au niveau européen les critères et exigences prévus par SecNumCloud. Le schéma EUCS n’est pas finalisé à ce jour.

La mise à jour du référentiel s’inscrit dans la lignée de la stratégie nationale pour le cloud officialisée par la circulaire n° 6282-SG du 5 juillet 2021 et de l’élaboration du schéma de certification européen « Cloud Services » au niveau élevé. Les principaux apports concernent l’explicitation de critères techniques et juridiques permettant d’assurer une immunité aux lois extra-européennes (voir la suite de cette FAQ) ainsi que la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.

La qualification SecNumCloud répond à des objectifs de sécurité spécifiques face aux menaces. Elle offre un haut niveau de protection et permet de :

  • Résister à de la menace isolée ou hacktiviste ;
  • Résister à de la menace cybercriminelle de bon niveau ;
  • Résister à une injonction issue de l'application de lois extraterritoriales portant atteinte à la disponibilité, confidentialité et intégrité du service ;
  • Garantir un niveau de sécurité adéquat pour le traitement des données sensibles.

La qualification SecNumCloud vise à assurer la confiance en la résilience du service cloud qualifié face à une possible injonction d’un État non membre de l’UE qui s’appuierait sur l’extra-territorialité de son droit. Le processus de qualification évalue notamment les facteurs qui permettront au prestataire qualifié de résister à une injonction de ce type : pour se référer au référentiel.

Il est à noter que la qualification SecNumCloud ne préjuge pas du niveau de sécurité d’un service numérique d’un client qui sera hébergé sur l’offre cloud qualifiée SecNumCloud (exemple : un site web hébergé sur une offre qualifiée SecNumCloud).

Devenir une offre qualifiée

Il convient, en premier lieu, de vous renseigner sur les exigences formulées par le référentiel afin de vérifier votre capacité à y répondre ou à mener les changements nécessaires pour vous y conformer. A sa lecture, vous constaterez que le document référence d’autres documents de l’ANSSI (guides, recommandations…) qui peuvent vous guider dans votre démarche de renforcement de la cybersécurité et afin d’atteindre la conformité à SecNumCloud.
Le référentiel est disponible ici : lien
Il convient également de prendre connaissance du processus de qualification en tant que tel et des documents associés : le processus de qualification, les portées, le formulaire de demande de qualification.

Dans un premier temps, vous devez entrer en contact avec l’ANSSI via l’adresse industries@ssi.gouv.fr. Nous vous demanderons de présenter votre projet, votre entreprise et toute information que vous jugerez utile pour nous permettre de vous orienter au mieux.

Dans un second temps, si vous avez confirmé la pertinence de cette démarche pour votre service cloud, un dossier de demande d’entrée en qualification devra être constitué et soumis à l’ANSSI via l’adresse qualification@ssi.gouv.fr.

C’est possible ; il s’agit alors de composition. La qualification fera dans ce cas l’objet d’une stratégie d’évaluation adaptée : le service IaaS déjà qualifié sera « détouré » et son évaluation consistera à auditer ses conditions de mise en œuvre principalement par l’analyse de la convention de service passée avec le fournisseur.

Les charges d’évaluation devraient être diminuées et le coût de la qualification sera donc moins élevé. Le gain en charges d’évaluation doit principalement porter sur la réduction du périmètre de l’évaluation de chaque exigence. Les contrôles concernant, par exemple, la sécurité physique du centre d’hébergement, seront nécessairement moindres. Cependant, il convient également de considérer que le référentiel SecNumCloud est fondamentalement basé sur l’annexe A de la norme ISO27001 et que les aspects organisationnels et documentaires restent importants même si, en l’occurrence, ils se limiteraient au périmètre des prestations SaaS. Cet aspect devra être pris en compte au moment de la planification de l’évaluation avec le centre d’évaluation retenu pour la qualification.

L’architecture retenue pour le service à qualifier devra démontrer sa capacité à assurer un cloisonnement entre ses différents commanditaires, mais aussi vis-à-vis des autres commanditaires du service faisant office de « socle ». Les ressources du socle dont vous fera bénéficier le prestataire déjà qualifié ne devront pas être accessibles aux autres clients du service « socle ». Enfin, dans sa gestion des risques, l’offreur du service SaaS devra prendre en compte le risque de perte ou de non renouvellement de la qualification de l’offre IaaS.

La qualification d’une offre permet de faciliter les processus d’homologation des services numériques des entités clientes qui, dès lors, disposeront d’un certain niveau de garantie sur les infrastructures sous-jacentes.

Ainsi, pour un éditeur de PaaS ou SaaS, s’appuyer sur une offre déjà qualifiée SecNumCloud permet, dans certains cas, d’éviter le besoin de ré-évaluer ce qui a déjà été évalué chez le prestataire.

Cette approche ne dispense pas l’éditeur de s’inscrire officiellement dans le processus de qualification SecNumCloud de l’ANSSI, nécessaire à l’obtention du Visa de sécurité SecNumCloud.

Retours sur quelques exigences clés du référentiel

La qualification SecNumCloud exige un cloisonnement des flux entre les opérations liées au bon fonctionnement du service qualifié et celles liées aux usages du service par les entités faisant appel à un prestataire de services d’informatique en nuage (commanditaire). Cela se traduit par des exigences d’isolation des réseaux pour garantir le cloisonnement entre les différentes composantes du service Cloud : usages cloud, gestion du service, gestion de l’infrastructure, etc. Il est également exigé que les interfaces d’administration utilisées par le prestataire et celles mises à disposition des commanditaires1 soient distinctes et protégées.

Plus de détails sont disponibles dans les chapitres « 9.6. Accès aux interfaces d’administration » et « 13.2. Cloisonnement des réseaux » du référentiel SecNumCloud.(voir document plus bas)

Les postes qui permettent l’administration du service qualifié SecNumCloud sont des équipements sensibles qui permettent d’interagir avec les composants matériels ou logiciels de l’infrastructure du service.
Ainsi, il convient de les protéger en excluant leur utilisation dans d’autres contextes que celui de l’administration du service SecNumCloud et en mettant en place des mesures de renforcement de leur sécurité (procédure documentée, durcissement de la configuration, etc.).

Plus de détails sont disponibles dans le chapitre « 12.12. Administration » du référentiel SecNumCloud.

La situation de mobilité des administrateurs est possible, mais elle doit être encadrée par une politique documentée et la solution mise en œuvre doit assurer que le niveau de sécurité en mobilité est au moins équivalent au niveau de sécurité hors situation de mobilité. Cette solution doit notamment inclure l’utilisation d’un tunnel chiffré, non débrayable et non contournable pour l’ensemble des flux et le chiffrement intégral du disque.

Plus de détails sont disponibles dans le chapitre « 12.12. Administration » du référentiel SecNumCloud.

Le service SecNumCloud concentre des données – parfois sensibles – provenant de nombreux commanditaires. Il est nécessaire pour votre personnel ayant accès à l’administration du service SecNumCloud de faire preuve d’une rigueur exemplaire, en particulier pour ceux disposant de privilèges d’administration élevés sur les composants et matériels de l’infrastructure SecNumCloud.
Ainsi, des vérifications adaptées aux privilèges des personnels doivent être effectuées lors de la sélection des candidats. Pour ceux disposant de privilèges importants, ces vérifications doivent être renforcées par un engagement de responsabilité renvoyant aux clauses du code du travail sur la protection du secret des affaires et de la propriété intellectuelle.

Plus de détails sont disponibles dans les chapitres « 7.1. Sélection des candidats » et « 7.2. Conditions d’embauche » du référentiel SecNumCloud.

Il est indispensable de s’assurer que les intervenants satisfont aux vérifications imposées lors de la sélection des candidats de votre propre entreprise ou que leurs interventions (sur site ou à distance) sont supervisées par un membre de votre personnel satisfaisant à ces obligations.

Cette protection repose sur l’assurance que votre société est soumise exclusivement aux lois de l’Union européenne.
Ainsi, afin de renforcer la confiance accordée dans le cadre d’une qualification SecNumCloud, les exigences suivantes concernent votre société :

  • la localisation du siège social (établi au sein d’un État membre de l’UE) ;
  • la capitalisation (les entités tierces localisées dans un État hors UE restent minoritaires) ;
  • le recours aux services de sociétés tierces hors UE (compétence pratique des sociétés tierces à obtenir les données opérées au travers du service SecNumCloud) ;
  • l’autonomie (garanties sur l’autonomie d’exploitation continue dans la fourniture du service SecNumCloud) ;
  • et l’indépendance aux ingérences (respect de la législation en vigueur, des droits fondamentaux et valeurs de l’Union européenne).

Plus de détails sont disponibles dans le chapitre « 19.6. Protection vis-à-vis du droit extra-européen » du référentiel SecNumCloud.

Les exigences liées à la territorialité du service sont essentielles et contribuent à l’objectif de maîtrise des données et du service. Ces exigences concernent le stockage et le traitement des données, mais également les opérations d’administration et de supervision du service, ou encore les sauvegardes des informations.
Ainsi, doivent être localisés sur le territoire de l’Union européenne :

  • le stockage et le traitement des données des commanditaires ;
  • les annuaires des comptes des personnels effectuant les opérations d’administration et de supervision du service ;
  • l’annuaire contenant les comptes des utilisateurs du service (commanditaires) ;
  • et les données techniques (log, AC racines, etc.).

Enfin, les annuaires gérant les comptes d’administration de votre société doivent être distincts de ceux utilisés pour la gestion des comptes utilisateurs des commanditaires.

Plus de détails sont disponibles dans les chapitres « 15.2. Sauvegarde des informations » et « 19.2. Localisation des données » du référentiel SecNumCloud.

Communiquer sur la qualification SecNumCloud

SecNumCloud vient reconnaître une offre de cloud spécifique et non pas un fournisseur de cloud, ni une infrastructure.

Une offre hébergée sur une offre SecNumCloud n’est pas automatiquement qualifiée SecNumCloud elle-même. Pour obtenir le Visa de sécurité SecNumCloud, une offre doit nécessairement être soumise au processus de qualification de l’ANSSI. Sans cela, elle ne peut se prévaloir de l’appellation SecNumCloud, ou afficher le logo du Visa de sécurité ANSSI.

Une entreprise ne peut pas utiliser le logo Visa de sécurité ANSSI ni afficher la qualification SecNumCloud si elle n’a pas officiellement obtenu la qualification SecNumCloud.

Dès son entrée officielle dans le processus de qualification SecNumCloud (reconnue par un courrier de l’ANSSI à l’entreprise annonçant « le jalon J0 »), toute entreprise pourra évoquer publiquement la démarche en cours. L’entreprise aura la possibilité, si elle le souhaite, d’être listée sur le site internet de l’ANSSI dans la catégorie prestataires en cours de qualification et pourra y faire référence.

Attention : une entreprise ne pourra pas utiliser le logo du Visa de sécurité ANSSI ni afficher la qualification SecNumCloud tant qu’elle n’aura pas officiellement obtenu la qualification SecNumCloud.

Par ailleurs, tout communiqué de presse évoquant le processus de qualification SecNumCloud de l’ANSSI devra préalablement être partagé à industries@ssi.gouv.fr pour validation.

Que dire aux clients finaux :

L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques. L’ANSSI recommande aux entités, quel que soit le type d’offres retenu, de sélectionner des services et licences pertinents afin de disposer des options et mécanismes de sécurité adaptés à leurs besoins spécifiques. Le recours à une offre qualifiée SecNumCloud ne dispense pas les entités de cette démarche, ces dernières demeurant responsables de la maîtrise de leurs risques informatiques. Ainsi, SecNumCloud ne répond qu’à certaines menaces et garantit un certain niveau de confiance.

Que dire aux éditeurs :

SecNumCloud vient reconnaître une offre de cloud spécifique et non pas un fournisseur de cloud, ni une infrastructure. Une offre ne pourra pas « hériter » automatiquement de la qualification SecNumCloud simplement parce qu’elle est hébergée sur une offre qui, elle, est qualifiée SecNumCloud.

En revanche, il existe un système de qualification par composition. Celui-ci est détaillé dans la rubrique précédente « Devenir une offre qualifiée ».

Toute offre qualifiée SecNumCloud :

  • Est officiellement référencée sur le site internet de l’ANSSI, dans la rubrique dédiée aux offres qualifiées (sauf demande contraire de l’offreur) ;
  • Est reconnue par un Visa de sécurité de l’ANSSI et son logo associé, qui identifie les offres de confiance ;
  • Peut valoriser le Visa de sécurité de l’ANSSI dans ses différentes communications commerciales, sous couvert du respect de la charte graphique et éditoriale dédiée.

Pour recevoir le logo Visa de sécurité, la Charte graphique et éditoriale, ou pour toutes questions relatives à la promotion du Visa de sécurité SecNumCloud : industries@ssi.gouv.fr.

Tout projet de communiqué de presse évoquant une qualification SecNumCloud doit être envoyé à cette même adresse avant publication, pour validation préalable des mentions associées à SecNumCloud par les équipes de l’ANSSI.

 

Sur le même sujet :