SecNumCloud : l’essentiel sur les évolutions majeures de la version 3.2 du référentiel

SecNumCloud 3.2 est une version majeure du référentiel de l’ANSSI qui impose l’application exclusive du droit européen au prestataire pour la certification. Édouard Camoin, VP Resilience chez 3DS OUTSCALE et expert ENISA, résume ces évolutions et l’articulation de cette 3.2 avec l’EUCS et le label « Cloud de Confiance ».

En mars 2022 paraissait une version 3.2 du référentiel d’exigences SecNumCloud qui s’inscrit dans la stratégie nationale pour un cloud de confiance. Conçu pour attester « de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée », ce référentiel est d’autant plus riche et précis aujourd’hui que son évolution s’appuie sur plus de 450 observations, provenant du monde entier et faisant suite à un appel public à commentaires.

Application exclusive du droit européen au cloud

La première nouveauté principale de cette actualisation concerne la réglementation, avec l’application exclusive du droit européen aux données hébergées et traitées dans le cloudimpliquant que les prestataires dont le siège social est établi hors de l’UE (ou qui dépendent de manière capitalistique d’acteurs non européens) ne sont désormais plus éligibles à la qualification.

La « grande nouveauté » de la version 3.2 du référentiel est donc incontestablement l’ajout de l’exigence d’immunité des prestataires IT aux droits extraterritoriaux (américains et chinois, mais pas que).

Auparavant, les contraintes juridiques qui s’appliquaient aux différents clouds faisaient l’objet d’une déclaration en préambule du dossier de labélisation et d’audit.

À présent, ne pas être soumis à un autre droit que le droit européen fait désormais partie intégrante de l’audit global.

Cette exigence légale a poussé l’ANSSI à déterminer, avec l’expertise de DGE, que le capital minimum que devaient détenir des acteurs européens dans une « joint venture » (de type Bleu ou SenS) n’était pas de 51 %, mais de 61 %.

SecNumCloud et EUCS

Aujourd’hui, l’exigence « d’immunité légale » – c’est-à-dire de ne pas s’exposer à des droits tiers qui pourraient être instrumentalisés à des fins de guerre économique et de renseignement (intelligence) par d’autres puissances – est en discussion au niveau européen dans les travaux pour établir le futur label EUCS (pour son degré 3, le plus élevé).

Si ce label européen l’intègre, EUCS aura vocation à remplacer SecNumCloud. Si EUCS n’intègre pas les critères attendus par l’ANSSI, il est possible que celle-ci conserve un modèle de qualification avec des exigences complémentaires (c’est une possibilité qu’elle a évoquée) pour les organisations étatiques et critiques françaises (OIV et défense, paraétatiques, etc.). Tout comme cela s’est passé pour EIDAS.

SecNumCloud 3.2 et « Cloud de Confiance »

Le « cloud de confiance » est un label annoncé par le ministre de l’Économie, des Finances et de la Souveraineté, Bruno Le Maire, en même temps que la nouvelle doctrine cloud de l’État (« Cloud au Centre », dont on peut penser qu’elle est une traduction de « cloud first »). L’État s’engage à utiliser le cloud pour ses nouveaux projets IT, mais ces clouds doivent être conformes à ce nouveau label.

Le label « cloud de confiance » cumule deux exigences :

  1. être SecNumCloud ;
  2. ne pas dépendre de droits extra-européens, qualifiés « d’inamicaux et intrusifs » par Bruno Le Maire (qui évoquait le FISA et le CLOUD Act américains).

L’évolution de SecNumCloud – qui intègre désormais le second point – fait que les deux labels sont devenus équivalents.

Être certifié SecNumCloud 3.2 revient donc à être de facto Cloud de Confiance.

Aujourd’hui, trois acteurs le sont (pour tout ou partie de leurs offres) : OVHcloud, Outscale (Dassault Système) et Oodrive.

Le principe de composition

En revanche, une solution d’un éditeur qui s’appuierait sur un cloud certifié SecNumCloud (IaaS ou PaaS) n’est pas automatiquement un SaaS qui peut se targuer d’être SecNumCloud. Néanmoins, la version 3.2 du référentiel simplifie la démarche avec le principe de composition.

C’est une autre nouveauté majeure : le principe de composition permet, pour un éditeur, de ne certifier que son logiciel dans la mesure où il repose sur une infrastructure déjà qualifiée.

Plusieurs autres aspects grandement renforcés

La définition des produits a, elle aussi, connu certaines évolutions : l’introduction du CaaS (Containers as a Service) dans le modèle des services de cloud, une meilleure gestion des flux entrants et sortants de la plateforme (qualifiée selon les guides d’interconnexion des SI rédigés par l’ANSSI auxquels elle doit se référer) et l’explicitation des conditions de sauvegarde des données pour améliorer la compréhension du service par le client.

Les aspects RH se voient eux aussi renforcés avec un processus de sélection des candidats, des clauses contractuelles et une supervision des externes plus importantes.

En matière de conservation des données à la clôture d’un compte, celle-ci a été fixée à 21 jours et n’est plus négociable.

En termes de gestion des changements et des opérations de la plateforme, les exigences de protection des postes de travail passent en niveau renforcé du guide d’hygiène de l’ANSSI.

De nouvelles règles destinées à faciliter le traitement du support par des tiers en vue d’améliorer la disponibilité du service ont également été intégrées. D’autre part, les changements majeurs doivent désormais subir un audit PASSI dédié.

Enfin, le référentiel indique des exigences relatives à la sauvegarde de la configuration de la plateforme en cas de nécessité d’activation du plan de reprise d’activité.

Une version majeure

Après une version 3.1 qui avait amendé plusieurs points (mineurs) de la version 3.0, la version 3.2 peut être considérée comme une version « majeure » de SecNumCloud.

Si la 3.1 était sortie seulement quelques semaines après la publication de la 3.0, le cahier des charges de la version 3.2 a pris trois années pour être élaboré par l’ANSSI, avec des appels à commentaires auprès de l’écosystème IT.

Elle est donc destinée à être pérenne pendant, au moins, quelques années.

Pour approfondir sur Réglementations et Souveraineté

Close