L'ANSSI durcit les critères de la qualification SecNumCloud
SecNumCloud est une qualification de sécurité mise en place par l’ANSSI à destination des opérateurs cloud, qui proposent des services PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). L'ANSSI explique que l’objectif est de proposer une « approche centralisée » plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire. Pour être qualifié SecNumCloud, un prestataire doit prouver que son service respecte les bonnes pratiques listées dans le référentiel. Sa conformité est vérifiée par des prestataires d’audit également approuvés par l’ANSSI.
OVHcloud, le fournisseur français de services d'informatique en nuage, a obtenu la qualification SecNumCloud en janvier pour son offre "Hosted Private Cloud". Suivant les recommandations de l'ANSSI, OVHcloud a mis en place pour cette nouvelle offre des procédures de sécurité physique, organisationnelle et contractuelle renforcées qui garantissent pour le client final. Les garanties de souveraineté des données de l'offre Hosted Private Cloud auxquelles s’ajoute désormais le Visa de Sécurité pour SecNumCloud la rendent adaptée à l’hébergement des données sensibles des organisations, telles que les données de santé, les données financières, etc.
La première version officielle du SecNumCloud remonte à 2016. SecNumCloud est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Cependant, il ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud. SecNumCloud a été ensuite révisé en 2018 pour aboutir à sa version 3.1. Ce processus a également permis à l'ANSSI de la rendre compatible avec RGPD (Règlement général sur la protection des données). C'est la version qui est actuellement utilisée.
La version 3.2 du référentiel est maintenant disponible en ligne et apporte plusieurs modifications, notamment des orientations sur la façon dont une entreprise peut s'organiser pour se placer hors d'atteinte des lois extraterritoriales, telles que le Cloud Act américain, le FISA ou l’Executive Order 12333. La nouvelle version est un document de 53 pages (plus 3 pages d'annexes) qui prend également en compte le CaaS (Container-as-a-Service). Elle est soumise à un appel jusqu'au 15 novembre 2021 et les commentaires et propositions seront transmis par courriel à l’adresse "qualification@ssi.gouv.fr".
Les critères de l'immunité aux lois extracommunautaires
Dans les modifications apportées au référentiel, de nombreuses sections (principalement le nouvel alinéa 19.6) précisent les protections juridiques que doivent garantir les entreprises souhaitant bénéficier de l'éligibilité à SecNumCloud. Une nouvelle section intitulée "Immunité au droit non communautaire" précise que le siège social du prestataire de services doit être établi dans un État membre de l'UE. De même, le texte précise que les actionnaires de l'entreprise doivent respecter certaines règles, afin d'éviter que les entreprises situées en dehors de l'UE ne disposent de trop de voix au conseil d'administration.
« Le siège statutaire, administration centrale ou principal établissement du prestataire doit être établi au sein d'un État membre de l'UE. Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement : individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’UE », indique le document. En outre, les fournisseurs de services qui ne sont pas dans l'UE n'ont pas le droit d'accéder aux données pilotées par le service.
Les données sont entendues ici au sens large en incluant toutes les données techniques (journaux de l’infrastructure, annuaire, certificats, configuration des accès…). « Le service fourni par le prestataire doit respecter la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit », rappelle le document. En outre, l'ANSSI a également ajouté une nouvelle section au référentiel portant sur l’appréciation des risques. Elle impose désormais deux obligations au prestataire.
Premièrement, il doit « lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable ». Et deuxièmement, il doit « mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état non membre de l’Union européenne ».
La version 3.2 contient d'autres modifications majeures
SecNumCloud sera en fait le lieu de travail pour la labellisation du "Cloud de confiance", qui vise à fournir aux opérateurs français les services d'acteurs américains tels que les infrastructures gérées par l'UE et les entreprises de droit européen, comme Google ou Microsoft. La question du droit anti-communautaire n'est pas une préoccupation nouvelle pour les responsables, mais elle est revenue sur le devant de la scène avec l'arrivée du label "Cloud de confiance" et l'émergence de programmes européens de certification du cloud.
Derrière cette période, on voit des dispositifs législatifs comme le Cloud Act, qui permettent à l'administration américaine d'accéder aux données fournies par des acteurs américains ou sur le sol américain. En sus, les changements apportés au référentiel tiennent également compte de nouveaux usages, et principalement des services CaaS (Container as a service).
Ces services concernent la mise à disposition d’environnements d’exécution permettant le déploiement et l’orchestration de conteneurs. Celles-ci viennent s’ajouter aux services Saas, PaaS, et IaaS. Plus loin, le nouveau document apporte des modifications concernant la sécurité des ressources humaines. Il renforce la vérification des informations relatives au personnel.
Un programme de certification européen
SecNumCloud étend ses règles pour prendre en compte ce nouveau scénario et éviter de mettre en danger les données des utilisateurs, afin de permettre aux sociétés françaises de proposer des offres de "cloud de confiance" qui associent des acteurs américains comme Google ou Microsoft. Si l'évolution du front français se fait en douceur, cette matière n'a pas encore été pleinement vérifiée au niveau européen. Au sein de l'UE, l'adoption de la loi sur la cybersécurité a ouvert la voie à la mise en place d'un programme de certification européen demandé par de nombreux acteurs.
Cependant, les États de l'Union ne se sont pas encore conformés aux règles de l'équivalent européen de SecNumCloud. Pour l'ANSSI, il ne s'agit pas d'un signe pour autant. « Pour les services et les données importants, seul le droit européen s'applique, pas le droit européen du cloud ou autre. Si nous ne pouvons pas faire cela, il serait tout à fait inutile de parler de souveraineté européenne », a déclaré le directeur général de l'ANSSI, Guillaume Poupard.
Source : SecNumCloud version 3.2.a (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des modifications apportées au référentiel SecNumCloud ?
Voir aussi
L'ANSSI revoit ses recommandations en matière d'authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020
Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés. Cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles
OVHcloud obtient le Visa de sécurité ANSSI pour sa qualification SecNumCloud, une reconnaissance de sécurité renforcée pour l'hébergement de données sensibles et stratégiques dans le cloud
Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude