SecNumCloud : la sécurité physique, un volet incontournable selon NumSpot

Un plateau, trois zones

En réalité, la règle de la délimitation des espaces s’applique également au sein des locaux de NumSpot à la Défense. Commerciaux, développeurs et opérateurs, administrateurs de la plateforme IaaS/PaaS travaillent dans des bureaux fermés, séparés par un couloir équipé de caméras surveillant les entrées et les sorties. Les employés peuvent se retrouver dans un espace commun – une salle de repos et de jeu et une cafétéria – où les accès réseau (prises Ethernet et bornes Wi-Fi) ont été retirés.

« Quand vous faites votre analyse de risques par rapport aux différents rôles, vous savez que vous devez en isoler certains ».

« Quand vous faites votre analyse de risques par rapport aux différents rôles, vous savez que vous devez en isoler certains », évoque Olivier Lavaux. « Cela nous a amenés à mettre en place trois types de zones : une pour le commerce et le marketing qui accède à un bureau pour les services transverses, une zone pour les développeurs et l’exploitation, ainsi qu’une autre pour les administrateurs ».

Un espace public composé d’une salle de réunion et d’une zone d’accueil sert à recevoir les clients et les prestataires. Les employés doivent badger à l’entrée et à la sortie des zones auxquelles ils ont accès. Les administrateurs sont les membres du personnel disposant du plus grand nombre d’autorisations.

Pour autant, les badges et leurs accessoires ne doivent revêtir aucun signe distinctif. « Parfois, il est écrit sur les badges, “à retourner à telle adresse”. Dans notre cas, c’est interdit », signale Alain Diep, responsable des opérations (COO) chez NumSpot.

Lors de la visite du MagIT dans les locaux de NumSpot, le badge était anonymisé, mais le cordon tour de cou portait les couleurs et le logo de l’entreprise. Un marqueur à retirer. « J’ai commandé de nouveaux tours de cou », signale le RSSI. En cas de perte, après une investigation interne, le badge est rapidement réédité. De même, cela implique une gestion fine des arrivées et des départs.  

« Nous avons des réunions régulières avec le service RH. Nous avons dû nous intégrer dans tous les processus de l’entreprise. L’audit ne concerne pas uniquement les systèmes d’information », insiste Olivier Lavaux.

« Nous avons des réunions régulières avec le service RH. Nous avons dû nous intégrer dans tous les processus de l’entreprise. L’audit ne concerne pas uniquement les systèmes d’information ».

Les visiteurs émargent, eux, un registre à l’entrée et à la sortie des locaux. Ces informations peuvent être recoupées avec celles données à l’entrée de la tour.

Le système de vidéosurveillance déconnecté du Web est raccordé aux capteurs présents sur les portes. Si quelqu’un tente de forcer l’ouverture, peu importe la raison (même en cas de dysfonctionnement de la porte), l’information est synchronisée avec la vidéo. Il est aussi possible de retracer le parcours des personnes afin de vérifier qu’elles n’ont pas – volontairement ou non – fait entrer un individu non autorisé.

Et la nuit ? « Le garde de nuit fait sa ronde avec son malinois, je vous déconseille de venir nous visiter en dehors des heures de bureau », s’amuse le RSSI.

Ce lot de mesures affecte également le gestionnaire de l’immeuble. « Nous avons imposé des contraintes inédites à la sécurité de la tour », note-t-il.

Gestion des accès aux SI internes : des dispositifs « simples », mais stricts

NumSpot pratique également la ségrégation des réseaux. « Je ne peux pas vous donner le nombre de réseaux en place, mais c’est assez complexe à mettre en œuvre », relate Alain Diep.

Les ordinateurs portables, eux, sont protégés par une clé de type Yubikey équipée d’un lecteur d’empreinte digitale. « C’est une solution simple d’un point de vue de l’utilisation et qui respecte nos exigences. Pas de mot de passe sur un post-it », commente Olivier Lavaux. « Cette mesure s’ajoute au chiffrement des disques des postes de travail, aux différents MFA et VPNs suivant les applications et les rôles des utilisateurs ». Les développeurs, eux, ne sont pas administrateur de leur poste de travail et ils ne peuvent pas pousser immédiatement le code en production à travers la chaîne CI/CD. Un ordinateur perdu ou volé peut être rendu inutilisable à distance.

NumSpot espère encore obtenir la qualification SecNumCloud début 2026

NumSpot respecte ainsi les exigences du référentiel. Qu’en est-il des autres volets du chantier SecNumCloud ? En avril 2025, NumSpot avait obtenu le jalon J1 de la qualification SecNumCloud. « Nous avons des audits prévus entre fin octobre et fin novembre. Cela correspond au J2. Nous sommes en qualification initiale, il y aura forcément une phase d’aller-retour. Pour l’instant, nous n’avons aucune idée du temps que cela peut prendre », explique Olivier Lavaux. « L’ANSSI doit ensuite nous répondre dans les trois mois afin de prononcer sa décision de qualification, le J3 ».

Dans le meilleur des cas, NumSpot pourrait arborer la qualification SecNumCloud au premier trimestre 2026, comme l’affirmait déjà Éric Haddad, président exécutif de NumSpot, en avril dernier. D’éventuelles demandes de modification pourraient reporter la décision à mi 2026. « Il faut être prudent. Je ne veux en aucun cas me prononcer à la place de l’ANSSI », souligne le RSSI.

Même le précieux sésame en poche, les équipes de NumSpot devront pallier les potentiels manques qui conduiraient l’ANSSI à prononcer des réserves en annexe de la décision de qualification. Les accords de l’agence nationale sont circonstanciés. Périmétriques.

« L’ANSSI a tracé la route, nous la suivons. Il faut être bon. Nous y travaillons », assure Éric Haddad. « Nous réalisons des audits blancs. C’est l’ensemble des fonctions de l’entreprise qui sont concernées ».

Le SecNumCloud n’est qu’une des priorités du RSSI. « Nous avons obtenu l’ISO 27001, et 27036, relatif à la gestion des fournisseurs. Plus tard, nous avons la qualification SecNumCloud, HDS, et nous réfléchissons aussi à l’obtention des ISO 27018, 27017 et 27701 », liste Olivier Lavaux.

« Nous partons d’une feuille blanche. Nous avons l’opportunité de bien faire dès le début. C’est le rêve de tout RSSI ».

L’ISO 27018 correspond à la protection des données personnelles dans le cloud, tandis que la certification ISO/IEC 27701 atteste de la mise en place d’un système de gestion de la protection de la vie privée. Elles sont toutes deux relatives à l’application du RGPD. L’ISO 27017, elle, est une extension de l’ISO 27001 en vue de renforcer la sécurité du cloud.

« Nous partons d’une feuille blanche. Nous avons l’opportunité de bien faire dès le début. C’est le rêve de tout RSSI », avance Olivier Lavaux. « Nous construisons la plateforme, nous aménageons les locaux, nous appliquons des normes, nous listons les exigences, nous nous faisons auditer, nous comparons le delta, nous nous améliorons. Et de temps en temps, nous mettons une cale pour ne pas redescendre la pente. C’est là mon quotidien ».