SECNUMCLOUD évolue : principaux changements et impacts

SECNUMCLOUD évolue : principaux changements et impacts

 

Un référentiel qui a du mal à s’imposer …

Avant d’analyser dans le détail ce qui change, profitons de cette nouvelle version pour faire un point de situation sur ce référentiel qui existe quand même depuis 2 ans et demi.

Un rapide coup d’œil sur la liste des produits et services qualifiés (disponible en PDF ici), dans la catégorie « Informatique en nuage » (qui correspond au référentiel SecNumCloud), nous montre que seulement 3 produits SaaS sont qualifiés, et pour une seule société, en l’occurrence Oodrive. C’est peu, même très peu, et ce manque d’engouement est peut-être une des raisons qui a motivé l’ANSSI à faire une mise à jour.

Des évolutions suivants deux axes

Revenons aux évolutions du référentiel, qui sont principalement sur deux points :

  •  La première évolution significative est la disparition du niveau de qualification « Avancé », qui avait été annoncé sans jamais avoir été dévoilé. On se retrouve donc avec un seul niveau de qualification, ce qui n’est pas plus mal car cela simplifie le référentiel.
     
  •  Le deuxième point est l’intégration d’exigences spécifiques à la protection des données personnelles. L’ANSSI annonce avoir collaboré avec la CNIL pour introduire ces nouvelles règles (dans le chapitre 19.5 « Protection des données à caractère personnel), et sans surprise on retrouve beaucoup des grands principes introduits par le RGPD, notamment en ce qui concerne les traitements, leurs finalités, ou encore le respect des droits des personnes.
     

Concernant le reste des exigences (chapitres 5 à 18), elles n’évoluent pas et sont toujours fortement inspirées de la norme ISO 27002.

 

Notre avis

 

Même si ces évolutions sont les bienvenues, le référentiel SecNumCloud reste à notre sens un peu décevant, et cette nouvelle version ne devraient pas améliorer son attractivité pour les prestataires de services concernés. La faute à un référentiel bien trop proche de la norme ISO 27002, et surtout des normes ISO 270017 (Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage) et 27018 (Technologies de l’information, Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII) qui existent également depuis un certain temps, sont reconnues internationalement et semblent donc plus pertinentes pour les prestataires proposant des services dans le Cloud.

En outre Advens réalise des dizaines d’accompagnement et d’audit dans le cadre de la mise en conformité de nos clients, et nous sommes aujourd’hui très peu sollicité sur SecNumCloud, alors que les demandes concernant une certification ISO 27xxx sont de plus en nombreuses.

Timothé Coulmain, Consultant Sécurité, Advens