Technopedia Center
PMB University Brochure
Faculty of Engineering and Computer Science
S1 Informatics S1 Information Systems S1 Information Technology S1 Computer Engineering S1 Electrical Engineering S1 Civil Engineering

faculty of Economics and Business
S1 Management S1 Accountancy

Faculty of Letters and Educational Sciences
S1 English literature S1 English language education S1 Mathematics education S1 Sports Education
  2. Weltenzyklopädie
  3. SecNumCloud — Wikipédia
SecNumCloud — Wikipédia 👆 Click Here! Read More..
Un article de Wikipédia, l'encyclopédie libre.
SecNumCloud
Status Publiée
Version 3.2 (2022)
Organisation ANSSI
Domaine Management de la sécurité de l'information des offres de services cloud
Site internet https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud


SecNumCloud est une qualification de l'ANSSI créée en 2016 pour certifier la qualité et la sécurité d'une offre de service cloud.

Définition

SecNumCloud est une qualification de sécurité qui s'adresse aux prestataires de services cloud aussi bien en PaaS (Platform as a service), en IaaS (Infrastructure as a service) ou en SaaS (Software as a service)[1].

La qualification SecNumCloud s'intéresse aux exigences relatives au prestataire de services, à son personnel et au déroulement des prestations. Elle considère pour cela des mesures techniques (étanchéité des systèmes d'information), opérationnelles (seul le prestataire peut intervenir sur les ressources supportant le service) et juridiques (application exclusive du droit européen)[2].

La qualification SecNumCloud en version 3.2 garantit aux clients de prestations de service cloud : un exploitant non soumis aux lois extra-territoriales, soit parce qu'il est français ou européen avec une part des capitaux majoritairement européens ;et des centres de données stationnés sur le sol européen.

Elle s'adresse à une offre de service particulière et non à un prestataire dans sa globalité[3].

Genèse

L'échec des projets de cloud public français Andromède (Cloudwatt et Numergy) n'a pas été en pure perte.

La loi de programmation militaire de 2013 va enclencher des réflexions sur la sécurité informatique. Ces réflexions quant à la sécurité informatique dans le cloud ont permis de mettre au point des méthodes d'évaluation des offres. Cela pousse l'ANSSI à créer Secure Cloud en . Secure Cloud devient SecNumCloud en 2016[4],[2].

L'ANSSI définit la qualification SecNumCloud dans sa version 3.0 en 2016. Cette qualification est basée sur la norme ISO/CEI 27001[5] et comporte deux niveaux de certification « essentiel » et « avancé »[6].

L'entrée en vigueur du RGPD en 2018 va entrainer la réunion des deux niveaux de certification en un seul[6].

En 2021 est ajoutée la notion d'absence de soumission à une juridiction extra-européenne, suivant ainsi le discours gouvernemental de mai 2021 qui définit la nouvelle stratégie nationale sur le cloud[6].

La définition de la version 3.2 intervient en 2022. Dans sa version 3.2 elle intègre des exigences supplémentaires, notamment en termes de souveraineté et de protection vis à vis du droit extra-européen[5].

Objectifs

La version 3.2 de la qualification SecNumCloud répond aux nouvelles obligations de la doctrine gouvernementale « Cloud au centre » publiée le . Cette doctrine consiste à se protéger contre « tout accès non autorisé par des autorités publiques d'Etats tiers ». Un changement doctrinaire qui existe déjà dans la loi SREN du et qui oblige les administrations traitant des « données sensibles » à faire appel à des fournisseurs non soumis à des lois extra-territoriales. Les données sensibles sont :

  1. les données relevant de secrets protégés par la loi ;
  2. les données relevant de la sauvegarde de la sécurité nationale ;
  3. les données relevant du maintien de l'ordre public ;
  4. les données relatives à la protection de la santé et de la vie des personnes[7].

L'avenir de SecNumCloud dépend cependant du futur statut européen, l'EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services. Un premier projet a été rédigé en 2020, mais en 2024, aucune version définitive n'a encore été publiée[2].

Processus de certification

Le processus de certification SecNumCloud comporte 4 jalons :

  1. J0, l'acceptation de la demande de qualification ;
  2. J1, l'acceptation de la stratégie d'évaluation ;
  3. J2, l'acceptation des travaux d'évaluation ;
  4. J3, la décision de qualification[2].

Annexes

Documents externes

  • ANSSI, Prestataires de services d’informatique en nuage (SecNumCloud) : Référentiel d'exigences, , 55 p. (lire en ligne [PDF])


Références

  1. Louis Adam, « SecNumCloud : Tout comprendre en cinq points » Accès libre, ZDNet, (consulté le )
  2. a b c et d Alice Vitard, « Trois questions sur le visa de sécurité SecNumCloud » Accès libre, L'Usine digitale, (consulté le )
  3. Virginie Desbordes, « Face au risque cyber, cap sur le cloud de confiance » Accès libre, AFNOR, (consulté le )
  4. Hélène Bégon, La transformation numérique des administrations, La Documentation française, , 407 p. (ISBN 9782111574809, lire en ligne), p.398
  5. a et b Augustin Ngoma, Carole Deghmoun et Ben Cacha Angat Nivi, Clouds publics : Cybersécurité : notre souveraineté est-elle garantie ?, VA Editions, , 224 p. (ISBN 9782360932931, lire en ligne)
  6. a b et c Stéphane Taillat, Amaël Cattaruzza et Didier Danet, La Cyberdéfense : Politique de l'espace numérique, Armand Collin, , 288 p. (ISBN 9782200636753, lire en ligne)
  7. Alice Vitard, « Exit les cloud américains, les ministres exhortés à utiliser des solutions SecNumCloud » Accès libre, L'Usine digitale, (consulté le )
Pusat Layanan

UNIVERSITAS TEKNOKRAT INDONESIA | ASEAN's Best Private University
Jl. ZA. Pagar Alam No.9 -11, Labuhan Ratu, Kec. Kedaton, Kota Bandar Lampung, Lampung 35132
Phone: (0721) 702022
Email: pmb@teknokrat.ac.id