SecNumCloud : comprendre le standard du cloud de confiance

Build
Antoine Quint
Temps de lecture 4 min

Cet article est le premier d’une série de trois sur le référentiel SecNumCloud, ses enjeux stratégiques, et la trajectoire de Scaleway vers l’obtention de cette qualification exigeante.

La sécurité des données a longtemps reposé sur une réalité physique rassurante : les serveurs étaient hébergés en interne (on-premise), littéralement à portée de main des équipes informatiques. Avec l’essor et la généralisation du cloud, les entreprises et les institutions ont gagné une agilité inédite, mais elles ont dû, en contrepartie, déléguer cette maîtrise matérielle.

C'est ce changement de paradigme qui rend la question de la confiance si critique. Puisque l'infrastructure n'est plus directement sous vos yeux, il est légitime de se demander non seulement vos données sont stockées, mais aussi comment et par qui elles sont réellement protégées.

Pour répondre à cette question, le marché s'est d'abord appuyé sur des standards internationaux. Les normes ISO (27001, 27017, etc.) ont par exemple posé d'excellentes bases en matière de gouvernance et de gestion des risques. Cependant, compte tenu de la sophistication des cybermenaces et de l’ingérence de certaines législations étrangères, ces cadres généralistes ont montré leurs limites en ce qui concerne les données hautement sensibles.

L'Europe a aujourd'hui un besoin vital d'infrastructures de confiance capables de garantir une autonomie stratégique complète. Il fallait passer d'une logique de « bonnes pratiques » à un niveau d'exigence technique absolu, imposé et contrôlé par l'État. C'est dans cette optique que la qualification SecNumCloud s'est imposée comme le standard de sécurité et de souveraineté le plus exigeant en France, et comme une source d’inspiration forte pour l'Europe entière.

Que cache exactement ce visa délivré par l'ANSSI et en quoi va-t-il bien plus loin que les certifications classiques ? Plongée au cœur du référentiel.

Qu'est-ce que SecNumCloud ?

Délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d'information), la qualification SecNumCloud atteste qu’un fournisseur de cloud répond aux exigences les plus élevées en matière de sécurité et de conformité réglementaire.

Certification, homologation, qualification... De quoi parle-t-on exactement ?

Il est fréquent de confondre ces trois termes. Pourtant, leur portée est très différente :

  • La certification (la preuve de conformité) : C'est une attestation délivrée par un tiers indépendant confirmant qu'un produit, un service ou un système de management (comme l'ISO 27001) respecte un référentiel donné. C'est une garantie de conformité reconnue par le marché.
  • L'homologation (l'acceptation du risque) : C'est une décision formelle prise le plus souvent par le propriétaire d'un système d'information (par exemple, une administration ou une entreprise), même si certaines réglementations françaises exigent que cette décision soit portée par une autorité étatique comme l'ANSSI (par exemple, dans le cadre d’informations classifiées). Elle consiste à accepter formellement les risques résiduels liés à l'utilisation de ce système dans un contexte métier précis.
  • La qualification (la recommandation de l'État) : Elle va bien au-delà d'une simple attestation de conformité. Elle certifie en premier lieu qu'un service a été audité selon des critères rigoureux dictés par l’ANSSI (qui en valide le rapport). Mais surtout, à l’issue de cet audit, l'État français recommande officiellement ce service pour protéger les données les plus critiques de la Nation (administrations, Opérateurs d'Importance Vitale, etc.). La qualification engage donc directement la confiance de l'État.

SecNumCloud est un référentiel déjà mature. Créé en 2016, il n'a cessé d'évoluer pour répondre aux menaces émergentes.

Sa version actuelle (la 3.2, lancée en 2022) marque un tournant décisif en introduisant un paramètre essentiel : la souveraineté juridique. SecNumCloud constitue en effet une barrière solide contre les lois extraterritoriales telles que le CLOUD Act américain. En optant pour un service qualifié SecNumCloud, vous avez la garantie que vos données restent protégées et soumises exclusivement à la juridiction européenne, à l'abri de toute surveillance ou ingérence étrangère.

Pourquoi aller au-delà des standards internationaux ?

Pour bien appréhender le changement de paradigme que représente SecNumCloud, il faut comprendre la distinction avec les standards existants, comme l’ISO 27001 :

  • ISO 27001 : C'est le standard international de référence. Il démontre qu'une organisation a mis en place une approche rigoureuse d'analyse des risques (le Système de Management de la Sécurité de l'Information, ou SMSI) pour protéger son système d'information. C'est une démarche dynamique où l'organisation évalue ses propres risques et définit les mesures proportionnées pour les traiter (par exemple via les contrôles techniques et organisationnels de son Annexe A), offrant ainsi une grande adaptabilité à chaque contexte. L’accent porte sur l’amélioration continue, plutôt qu’un socle universel d’exigences.
  • SecNumCloud : C'est le plus haut niveau d'exigence français pour le Cloud. Comme avec l'ISO 27001, un hébergeur qualifié SecNumCloud réalise toujours ses propres analyses de risques, mais l'ANSSI y superpose un socle d'exigences non négociables. Sur des sujets critiques comme le cloisonnement, la cryptographie ou l'administration, l'ANSSI impose ses règles techniques et recommande l'utilisation de produits qualifiés. À cela s'ajoute la dimension souveraine (la protection stricte contre les lois extraterritoriales), totalement absente des normes internationales.

En somme, l'ISO 27001 est une fondation indispensable pour un SI (Système Informatique) sécurisé. La certification SecNumCloud, elle, va plus loin, à la fois par :

  • sa profondeur en termes d’exigences techniques ;
  • son périmètre étendu (souveraineté, etc.) ; et
  • le caractère obligatoire de ses exigences.

Ensemble, ces critères font passer les acteurs d’une démarche pure d’amélioration continue à celle d’un socle de sécurité incontournable.

Au cœur du référentiel : les quatre grands piliers d'exigences

Le référentiel SecNumCloud est un document dense qui ne laisse aucune place au hasard. Ses exigences s'articulent autour de quatre grands piliers qui couvrent l’ensemble des aspects de sécurité nécessaires pour protéger correctement un SI :

  1. La sécurité organisationnelle : Le fournisseur doit s'appuyer sur un SMSI renforcé : vérification des personnels dès leur recrutement, maîtrise stricte des sous-traitants, audits réguliers par des tiers qualifiés (PASSI), et processus de réponse aux incidents garantissant des interventions rapides et conformes aux niveaux de disponibilité actés contractuellement avec le client.
  2. La sécurité technique : Le référentiel exige un cloisonnement logique infranchissable entre les clients, une séparation stricte des réseaux d'administration, et l'intégration d'algorithmes de cryptographie directement approuvés par l'ANSSI.
  3. La sécurité physique : Les datacenters hébergeant les services qualifiés font l'objet de contrôles stricts : cloisonnement spécifique des espaces, redondance des installations critiques, contrôle d'accès renforcé.
  4. La sécurité juridique et souveraine : L’hébergeur doit être une entité européenne, dont le capital est immunisé contre les prises de contrôle extra-européennes. Les données ne peuvent en aucun cas être transférées hors de l'Union européenne.

Pourquoi SecNumCloud devient un critère de confiance décisif

Aujourd’hui, mettre en place des mesures de sécurité de pointe ne suffit plus ; il faut être capable de prouver leur efficacité. C’est exactement ce qu’apporte cette qualification, par :

  1. Le caractère public et vérifiable des informations : Le référentiel SecNumCloud étant public, un client sait précisément à quelles exigences son fournisseur cloud répond.
  2. L’indépendance de l’analyse : Les quatre critères de sécurité évoqués précédemment sont évalués méticuleusement par un cabinet d'audit indépendant
  3. La validation par un acteur étatique : Les informations collectées sont utilisées par l'ANSSI pour émettre une décision de qualification.

Ensemble, ces éléments offrent aux clients une transparence inégalée quant à la sécurité de leur fournisseur cloud.

Pour qui SecNumCloud est-il incontournable ?

Si la qualification a été pensée à l'origine pour les environnements les plus critiques de l'État, elle est aujourd'hui plébiscitée par un écosystème de plus en plus large :

  • Le secteur public : Cette demande est portée par la doctrine de l'État « Cloud au centre », qui impose ce niveau de protection pour les données sensibles des citoyens.
  • Les OIV et OSE (Opérateurs d'Importance Vitale et de Services Essentiels) : Les organismes des secteurs de l’énergie, des transports, des banques, etc. qui ont des obligations légales strictes en matière de cybersécurité.
  • Le secteur de la santé : Pour héberger des données médicales critiques à l'abri des juridictions étrangères (allant plus loin que la seule certification HDS - Hébergeur de Données de Santé).
  • Les éditeurs SaaS (B2B) : De plus en plus d'éditeurs logiciels choisissent de s'appuyer sur des infrastructures SecNumCloud pour rassurer leurs propres clients finaux et remporter des appels d'offres exigeants par « ruissellement » de la confiance.

Plus généralement, SecNumCloud s’impose aujourd’hui comme une évidence pour toutes les organisations qui exigent un niveau de sécurité renforcé et un gage de souveraineté.

Tous ces acteurs peuvent ainsi être amenés à préférer des fournisseurs cloud disposant d’une offre qualifiée.

En établissant un socle d’exigences techniques, organisationnelles, physiques et juridiques, SecNumCloud marque donc un changement de niveau dans la confiance cloud. Là où les standards internationaux posent des bases indispensables, la qualification va plus loin : elle impose un cadre vérifiable, audité indépendamment et reconnu par l’État, pensé pour protéger les données les plus sensibles.

Mais comprendre le référentiel n’est qu’une première étape. Pour un fournisseur cloud comme Scaleway, viser SecNumCloud implique aussi des choix stratégiques profonds. C’est ce que nous explorerons dans le deuxième article de cette série.