Comme promis il y a quelques jours lors des Assises de la sécurité à Monaco, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a mis en ligne la nouvelle version (3.2.A) de son référentiel d’exigences applicables aux prestataires d’informatique en nuage pour la certification SecNumCloud. Elle le fait dans le cadre d’un appel à commentaires, avec la possibilité de répondre jusqu’au 15 novembre 2021.

La modification du référentiel tient compte des évolutions légales ou réglementaires. La précédente version en juin 2018 (3.1) avait ainsi intégré les exigences de mise en conformité avec le Règlement général sur la protection des données (RGPD). Comme le souligne l’ANSSI, elle s’inscrit ici à la fois dans la lignée de la stratégie nationale pour le cloud et de l’élaboration du schéma de la certification européen relatif aux prestataires de cloud.

L’apport essentiel, qui fait aussi le plus consensus, est l’explicitation des critères d’immunité aux lois extracommunautaires. C’est l’objet de la nouvelle section (19.6) qui clôt le référentiel. Première obligation, le siège ou le principal établissement du prestataire de services cloud doit être établi au sein d’un Etat membre de l’Union Européenne. Le prestataire doit par ailleurs être majoritaire au niveau du capital et des droits de vote, les sociétés tierces ne pouvant détenir plus de 24% individuellement et 39% collectivement.

Le référentiel précise aussi les règles pour le recours à des sous-traitants. Ainsi, une société tierce ne possédant pas son siège dans l’UE ne peut « avoir la compétence pratique d’obtenir les données opérées au travers du service ». Les données sont entendues ici au sens large en incluant toutes les données techniques (journaux de l’infrastructure, annuaire, certificats, configuration des accès, etc.)

Du point du vue du droit « Le service fourni par le prestataire doit respecter la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit ».

Par ailleurs, la partie 5.3 du référentiel sur l’appréciation des risques impose deux obligations au prestataire. Il doit « lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable. »
Et « mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état non-membre de l’Union Européenne. »

Le second apport de cette nouvelle version, pointé par l’ANSSI, est la mise en œuvre de tests d’intrusion tout au long du cycle de vie de la qualification SecNumCloud.

Enfin, le référentiel évolue en prenant en compte de nouveaux usages. Les trois activités visées jusqu’ici étaient la fourniture de services SaaS, PaaS et IaaS. S’y ajoute une quatrième, les services CaaS, qui sont définis comme « la mise à disposition d’environnements d’exécution permettant le déploiement et l’orchestration de conteneurs. »

Les règles très strictes érigées tout au long des 58 pages du document visent à donner au commanditaire un maximum de garanties sur les compétences du prestataire et de son personnel, sur la qualité de la prestation et sur la confiance qu’il peut accorder au prestataire. Elles appuient la nouvelle doctrine « cloud de confiance », au prix d’une qualification très lourde… qui pose la question de ceux qui peuvent y avoir accès.