Certification SecNumCloud : conjuguer sécurité et souveraineté des données

La France a mis en place la certification SecNumCloud pour garantir un niveau de sécurisation optimal des données. Description, explication, bénéfices et perspective.

Pour garantir un niveau de sécurisation optimal des données, et ainsi faire face aux risques liés à leur exploitation non autorisée en dehors du territoire européen, la France a mis en place la certification SecNumCloud. En quoi consiste-t-elle et quels sont ses bénéfices ?

SecNumCloud : la sécurité au-delà de la cyber  

SecNumCloud est une certification de l'ANSSI qui existe depuis 2016, attestant du niveau de sécurisation d'un hébergement cloud.   

Elle s’applique à l’ensemble des services qui peuvent y être hébergés : IaaS, PaaS et SaaS.  

Cette certification porte la sécurisation des différents piliers de l’hébergement cloud :  

  • La cybersécurité, pour ce qui concerne le cloisonnement, la cryptographie, le contrôle des accès, la journalisation par exemple ... ; 
  • L’organisation, en vue de garantir la mise en place d’une démarche complète de sécurisation de l’analyse des risques initiale jusqu’à la gestion des incidents et des vulnérabilités.. ; 
  • La sécurité physique des espaces où sont traitées et hébergées les données.  

Autre enjeu de taille de la certification SecNumCloud : il s’agit également de se protéger face aux lois non-européennes à portée extraterritoriale. Par exemple, le Patriot Act, le RISA (ex-FISA) ou le Cloud Act, la loi chinoise de 2017 relative au renseignement qui exige de toute organisation en lien avec des entités chinoises qu’elle collabore avec les services de renseignement du pays ou toute autre législation équivalente. 

Pour ce faire, dans sa version 3.2, publiée en 2022, la certification SecNumCloud a intégré des clauses relatives à la localisation des opérations techniques de gestion et d’administration des données, à la juridiction des parties prenantes au capital d’une société et ayant un pouvoir de contrôle, celle-ci ne pouvant pas être celle d’un pays tiers à l’Union européenne.  

Champ d’application de la certification SecNumCloud 

Aujourd’hui, toute entité soucieuse de maîtriser et de protéger ses données peut recourir à des offres certifiées SecNumCloud, qui apportent des garanties substantielles de sécurité, à la fois techniques et juridiques. Néanmoins, seules certaines entités administratives y sont obligées au travers de la circulaire cloud au centre qui s’impose aux acteurs publics dont les missions sont essentielles au fonctionnement de l’Etat.  

Schémas de certification français et européens : EUCS vs. SecNumCloud  

Adopté en 2019, le Cybersecurity Act a vocation à harmoniser toutes les certifications relatives à la cybersécurité au niveau de l’Union européenne et du marché intérieur.   

Si le schéma SecNumCloud offre directement le niveau de sécurité le plus élevé possible et donc s’adresse directement aux données sensibles, le schéma de certification cloud européen, EUCS, doit porter quant à lui plusieurs niveaux de sécurité. 

Le schéma EUCS a ainsi vocation à certifier trois niveaux de sécurité : basique par de l’auto-certification pour les usages les plus répandus, substantiel avec des garanties de cybersécurité robustes et enfin, élevé pour les usages sensibles.  
La définition précise de ces niveaux court depuis plusieurs années à l’échelle européenne et suscite de nombreux débats.  
En effet, les propositions actuelles excluent du niveau le plus élevé les exigences présentes dans SecNumCloud, qui visent pourtant à protéger les données sensibles contre des accès non-autorisés de pays tiers.  
Plus préoccupant, adopté en l’état, ce texte viendrait écraser le référentiel SecNumCloud pour le remplacer, empêchant ainsi la France d’avoir un schéma de certification à la hauteur des risques stratégiques de captation de données et de perturbations de services numériques critiques qui sont actuellement les nôtres.  

L'intérêt de la certification SecNumCloud pour les solutions de cybersécurité  

Comme toute organisation, un éditeur de solution de cybersécurité est lui aussi confronté au sujet de la confidentialité des données : les siennes, mais aussi celles de ses clients.  

La certification SecNumCloud garantit ainsi un niveau de sécurisation optimal à travers des exigences strictes, des accès nominatifs, le cloisonnement de la solution par rapport à des applicatifs tiers... à la fois pour l’éditeur mais également pour ses clients, qui peuvent ainsi bénéficier de la solution dans un environnement SecNumCloud.   

Recourir à une solution de cybersécurité certifiée SecNumCloud permet aux RSSI de se conformer aisément à de nombreux prérequis en matière de sécurisation et de confidentialité des données (il est à noter qu’un certain nombre de ces exigences sont communes avec les normes ISO 27001 ou encore PCI-DSS). Cela lui offre le meilleur niveau de sécurisation avec la simplicité d’une solution SaaS – autrement dit, c’est le moyen de bénéficier à la fois des avantages du cloud et du On-Premise. 

En somme, SecNumCloud est la preuve qu'il est possible de conjuguer sécurité et souveraineté, contrairement aux idées reçues sur le fait que seuls les environnements cloud proposées par les GAFAM peuvent être sécurisés et/ou que seul un déploiement On-premise est possible pour être en conformité avec les exigences de sécurité les plus élevées !