SecNumCloud, la french touch du cloud de confiance

Sécurité du Cloud
SecNumCloud, la french touch du cloud de confiance

L’ANSSI a publié le 12 décembre 2016 la version finalisée du référentiel d’exigences applicables aux prestataires de services d’informatique en nuage (SecNumCloud) concernant le niveau de qualification « Essentiel » (anciennement Secure Cloud). Ce référentiel a été conçu en concertation avec certains acteurs du marché, notamment Orange Cloud for Business, que l’on peut retrouver dans la liste (encore très courte) des prestataires en cours de qualification.

Il est disponible en PDF à cette adresse.

Advens, qui réalise de nombreux audits de conformité basés sur de tels référentiels, a analysé SecNumCloud et vous en propose une synthèse.

 

Un référentiel de plus ou vraie valeur ajoutée ?

La première question que l’on peut se poser concerne l’utilité de ce nouveau référentiel. Les référentiels contenant des exigences ou bonnes pratiques de sécurité ne manquent pas, on peut citer ISO 27002 ou encore la PSSIE. SecNumCloud vient combler un manque, celui d’un référentiel de sécurité adapté aux métiers du Cloud, c’est-à-dire les prestataires proposant des services de types SaaS, PaaS ou IaaS. En effet suite à l’utilisation de plus en plus massive de ces services par les entreprises, de façon plus ou moins encadrée (phénomène du Shadow IT), le besoin d’évaluer leur sécurité devient indispensable.

Si quelques initiatives existent déjà outre Atlantique (certification CSA STAR), elles n’ont intéressé que très peu de société en France. A notre connaissance seul Numergy est certifié aujourd’hui. Le référentiel SecNumCloud a donc plus de chance de s’imposer comme LE référentiel de certification pour les entreprises françaises.

 

Un référentiel pas si nouveau…

Les experts sécurité ne seront pas en terre inconnue avec référentiel SecNumCloud : en effet celui-ci s’inspire fortement de la norme ISO 27002, et en respecte d’ailleurs la structure. On y retrouve par exemple les chapitres « gestion des actifs » ou encore « sécurité liée à l’exploitation », que les auditeurs connaissent bien. La bonne nouvelle est donc qu’il ne s’agit pas d’un référentiel entièrement nouveau qu’il faudra apprendre à maîtriser, mais plutôt d’une déclinaison d’exigences déjà identifiées mais adaptées au contexte spécifique du Cloud. Ce n’est pas vraiment une surprise car les autres référentiels comme celui de la Cloud Security Alliance avait choisi une orientation identique.

L’autre point positif est que pour les entités déjà certifiées ou en cours de certification ISO 27001, les efforts à mener pour être certifié SecNumCloud ne seront à priori pas très importants. Quelques détails pourront quand même venir noircir le tableau, notamment la nécessité de mettre en place certaines mesures techniques pouvant être assez contraignantes (analyse et corrélation de logs).

 

Deux niveaux de qualification

Le référentiel SecNumCloud publié par l’ANSSI concerne pour le moment uniquement le niveau de qualification « Essentiel ». En lisant entre les lignes on peut traduire ce niveau par les exigences nécessaires pour atteindre un niveau de sécurité « suffisant » ou « minimal » selon le point de vue. Effectivement en parcourant les exigences on retrouve les règles « incontournables », les basiques de la sécurité en quelque sorte. Détail important le référentiel contient de nombreuses « recommandations », à comprendre comme des exigences facultatives puisqu’elles ne seront pas vérifiées lors du processus de qualification.

Un second niveau de qualification « Avancé » sera publié par la suite, et matérialisera des exigences plus fortes, même si nous n’avons pas encore de détails sur celui-ci. Deux sociétés sont déjà en cours de qualification pour le niveau Avancé, on peut donc imaginer que les exigences sont déjà bien définies et qu’il reste uniquement quelques ajustements. En outre l’ANSSI précise que les exigences du niveau « Avancé » permettront aux prestataires qualifiés d’être conforme à la PSSIE.

Le niveau « Essentiel » est donc plus adapté au traitement ou au stockage de données pas ou peu sensibles, alors que le niveau « Avancé » semble orienté vers des services pour lesquels une fuite de données aurait un impact significatif. On peut citer les données à caractère personnel, mais aussi des données stratégiques par exemple.

 

Des exigences complémentaires

En complément des chapitres « classiques » de la norme ISO 27002, on retrouve des « exigences complémentaires » qui portent notamment sur la convention de service, la localisation des données, ou encore la régionalisation. Rien de très contraignant, d’autant plus que le Règlement Européen sur les données personnelles imposera déjà une localisation des données dans l’Union Européenne pour ce type de services.

 

Processus de qualification

Enfin, comment se déroule le processus de qualification ? C’est encore assez flou, car l’ANSSI précise seulement « Les organismes qui souhaitent procéder à l’évaluation de la conformité des prestataires au référentiel sont invités à se rapprocher de l’Anssi. De même, les prestataires qui souhaitent obtenir la qualification de leur service sont invités à se rapprocher de l’Anssi. » L’ANSSI clarifiera ce point à l’avenir, mais il est probable que le processus soit similaire à d’autres qualifications, comme PASSI par exemple.

En outre le chapitre 18.2 « Revue indépendante de la sécurité de l’information » indique que « Le prestataire doit inclure dans le programme d’audit un audit qualifié par an réalisé par un prestataire d’audit de la sécurité des systèmes d’information [PASSI] qualifié » . Cela signifie donc que seuls les prestataires d’audit qualifiés PASSI pourront réaliser des audits de contrôle dans le cadre du programme d’audit que chaque prestataire qualifié SecNumCloud devra mettre en place.

 

Un « label » qui a de l’avenir ?

Disposer de la qualification SecNumCloud sera à coup sûr un argument commercial de taille pour les prestataires de services de type SaaS/PaaS/IaaS, car la sécurité des données est devenue au fil des ans une des préoccupations majeures de leurs clients. Et le durcissement du contexte réglementaire (LPM, Règlement Européen, etc.) ne fait qu’accentuer ce constat. De plus, comme nous l’indiquions précédemment, ce référentiel répond à un vrai besoin des professionnels du Cloud.

Il est donc très probable que les demandes de qualification se multiplient dans les prochains mois, et que l’on voit rapidement apparaître sur le marché les 1ère entreprises qualifiées SecNumCloud. Advens est d’ores et déjà capable de vous aider sur ce sujet, notamment pour réaliser un état des lieux et vous aider à identifier les actions à mettre en œuvre pour viser une conformité par rapport à ce nouveau référentiel.

Timothé Coulmain, Consultant Sécurité, Advens