L’ANSSI lance la version 3.2 de sa certification SecNumCloud, le Graal de tout cloud européen en quête de reconnaissance comme « Cloud de confiance ».

SecNumCloud… De toutes les certifications de l’ANSSI, c’est sans doute aujourd’hui la plus populaire et la plus médiatisée. Logique. Depuis l’annonce du plan « Cloud au Centre » du gouvernement et sa définition du « Cloud de Confiance », tout le monde connaît cette certification qui valide les aspects techniques de cette définition auxquels s’ajoutent des aspects juridiques (le cloud doit être opéré par une entité majoritairement européenne et menant ses opérations en Europe).

À l’heure actuelle, seuls trois fournisseurs de cloud sont certifiés SecNumCloud : 3DS OutscaleOODrive, et OVHcloud. Mais d’autres veulent prétendre à ce Graal à commencer par Bleu (la join-venture Orange et Capgemini en partenariat avec Microsoft) et l’entité née du partenariat Thales et Google (pour la création d’un cloud de confiance basé sur les technologies Google Cloud Platform et opéré par Thales).

À la lumière des annonces gouvernementales autour du Cloud de Confiance et de 450 observations partagées par des observateurs, acteurs et communautés du monde entier, l’ANSSI a publié la semaine dernière la version 3.2 du référentiel d’exigences applicables aux prestataires de services cloud. La qualification SecNumCloud « atteste de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée » explique l’ANSSI.

Tous les services de Cloud peuvent prétendre à la qualification SecNumCloud. Cette dernière est ainsi adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Plateform as a Service) et IaaS (Infrastructure as a Service)…

La version 3.2 éclaire différentes subtilités et notamment précise l’exigence relative à la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification.
Mais surtout, cette édition 3.2 précise les critères de protection vis-à-vis des lois extra-européennes. Dit autrement, la version 3.2 incorpore directement dans la qualification « SecNumCloud » les critères juridiques d’éligibilité au titre de « Cloud de confiance » tel que défini dans le plan du gouvernement.  Les exigences « SecNumCloud » garantissent donc aussi désormais que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes. Par ailleurs, ces garanties permettront aussi aux clients des offres de cloud qualifiées d’assurer leur conformité aux suites de l’arrêt « Schrems II » tout en écartant le risque d’un accès étranger incompatible avec le RGPD.

L’ANSSI précise que non seulement SecNumCloud 3.2 s’inscrit en pleine cohérence avec les travaux européens de certification de prestataires de cloud (EUCS) mais sert même de référence dans les travaux sur le niveau « élevé » de cette future certification.

Pour les responsables curieux et pour les opérateurs de services Cloud qui s’intéressent à cette qualification SecNumCloud, l’ANSSI a également actualisé sa FAQ « Avant de se lancer dans la qualification SecNumCloud ».

Source : Version 3.2 du référentiel SecNumCloud