La sécurité des données est devenue une préoccupation majeure pour les entreprises et les gouvernements du monde entier. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a mis en place un référentiel de sécurité pour les fournisseurs de services cloud, appelé SecNumCloud. Une certification qui garantit la qualification et la sécurité des prestataires de services informatiques et de leur solution cloud. Explications.
SecNumCloud : retour aux fondamentaux
Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » a pour objectif de promouvoir, d'enrichir et d'améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information.
SecNumCloud est donc un label de sécurité décerné aux fournisseurs de services cloud qui respectent des exigences spécifiques en matière de sécurité, de confidentialité et de résilience. Il garantit que les infrastructures, les logiciels et les procédures de ces fournisseurs sont conformes aux normes de sécurité françaises. Ce référentiel, qui permet de distinguer les opérateurs cloud respectant les bonnes pratiques en matière de sécurité, s'appuie sur la norme ISO 27001, avec de nouvelles exigences spécifiques, et a été mis à jour avec sa version 3.2 en 2022, afin d’intégrer notamment l’ensemble des mesures de protection vis-à-vis du droit extra-européen.
Le processus de certification est rigoureux et nécessite de répondre à des critères stricts en matière de protection des données, de continuité d'activité, de gestion des risques et de conformité avec la législation applicable. Tous les services de cloud peuvent prétendre à la qualification SecNumCloud. En effet, la qualification est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Platform as a Service) ou encore IaaS (Infrastructure as a Service).
Qui est concerné par SecNumCloud ?
SecNumCloud concerne les fournisseurs de services cloud qui souhaitent offrir des solutions de stockage, de traitement et de gestion des données conformes aux normes de sécurité françaises. Les entreprises et organismes publics français qui cherchent à externaliser leurs services informatiques ou à stocker des données sensibles dans le cloud sont également concernés par ce label. En effet, ce référentiel est un gage de qualité, qui est d'ailleurs souvent imposé par les directions informatiques au sein des appels d'offres et des cahiers des charges.
Le droit français et européen est l’un des plus protecteurs au monde en matière de sécurité des données, de gouvernance numérique et de consentement. SecNumCloud vient apporter un gage de sécurité supplémentaire.
Qui peut obtenir la certification SecNumCloud ?
Obtenir la certification SecNumCloud nécessite de passer par un processus d'évaluation rigoureux mené par l'ANSSI. Les critères pour obtenir la certification incluent :
- La protection des données : pour mettre en place des mesures de sécurité pour garantir la confidentialité, l'intégrité et la disponibilité des données.
- La continuité d'activité : pour disposer de plans de reprise d'activité et de sauvegarde des données pour assurer la continuité des services en cas de sinistre ou d'incident.
- La gestion des risques : pour identifier, évaluer et traiter les risques liés à la sécurité des systèmes d'information, ainsi que mettre en place des mécanismes de contrôle et de suivi.
- La conformité légale : pour se conformer aux réglementations en vigueur, notamment en matière de protection des données personnelles (comme le RGPD) et de cybersécurité.
Les services SecNumCloud sont destinés aux organisations, qu'elles soient publiques ou privées, soucieuses de bénéficier d'un service de qualité, souverain et sécurisé. De plus, les solutions certifiées SecNumCloud offrent une grande réversibilité. Ce principe indique qu'une organisation cliente peut aisément changer de fournisseur, facilitant ainsi l'accès et le transfert des données vers un autre service.
La liste des entreprises qui disposent de SecNumCloud est accessible publiquement sur le site de l'ANSSI. À noter que la certification n’est valable que pour une durée de trois ans. Après cette période, les prestataires doivent réaliser des audits de surveillance tous les 18 mois pour maintenir leur certification.
Pourquoi travailler avec une entreprise certifiée SecNumCloud ?
Le respect du référentiel SecNumCloud est souvent une obligation interne pour certaines organisations publiques (appuyée par la doctrine « Cloud au centre », actualisée le 31 mai 2023) ou des entreprises privées travaillant dans des secteurs stratégiques ou manipulant des données sensibles. Cela permet d'assurer un niveau de sécurité et de protection des données personnelles supplémentaire, en conformité avec le RGPD. Et les avantages sont nombreux pour les organisations clientes :
- Sécurité renforcée : les entreprises certifiées SecNumCloud sont soumises à des exigences strictes en matière de sécurité, ce qui signifie que leurs infrastructures, leurs logiciels et leurs procédures sont conçus pour protéger les données et les systèmes d'information face aux failles de sécurité et d'incidents liés aux cyberattaques.
- Conformité réglementaire : c'est une garantie supplémentaire pour s'assurer que le traitement des données est effectué dans les règles de l'art, et au-delà.
- Continuité d'activité : pour que les clients bénéficient d'une plus grande tranquillité d'esprit quant à la disponibilité et la fiabilité des services cloud.
- Confiance et avantage compétitif : pour les usages et les clients des organisations qui travaillent avec un prestataire certifié SecNumCloud, la démarche démontre un engagement envers la sécurité numérique et la capacité à gérer efficacement les risques de sécurité informatique.
Chez EasyVista, nous investissons constamment et durablement dans la sécurité de nos logiciels et infrastructures techniques. C'est non seulement un choix qui est gravé dans l'ADN de l'entreprise, mais aussi une nécessité pour démontrer un haut niveau d'exigence et de service envers tous nos clients, organisations publiques comme entreprises privées. Ainsi, nous sommes audités SSAE18 et SOC2, et nos processus sont issus de la certification ISO27001.
En tant qu’éditeur français, EasyVista dispose également d’un SaaS souverain non soumis au Cloud Act et est en mesure de proposer une offre conforme à la réglementation SecNumCloud via son hébergeur Outscale qui répond à toutes les exigences en matière de sécurité avec, notamment, la localisation des données en France.
Vous souhaitez échanger avec l’un de nos experts ? Nous sommes à votre disposition !
