Aujourd’hui, à l’ère du tout numérique, de plus en plus d’organisations font désormais appel au cloud computing (ou l’informatique en nuage en français) pour stocker leurs données.
Cependant, si cette pratique possède de nombreux avantages, la généralisation du cloud pose le problème de la protection des données. Avec le nombre de cyberattaques qui ne cesse d’accroître chaque année, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a mis en place le référentiel SecNumCloud en plus de la certification ISO 27001 et du RGPD (règlement général pour la protection des données) afin d’augmenter le niveau de sécurité du cloud computing.
Rappel : qu’est-ce que le cloud computing ?
Le cloud computing désigne un système qui permet le stockage et l’accès à des ressources, des données et des services par l’intermédiaire d’Internet, plutôt que par le disque dur d’un ordinateur. Ainsi, vos données ne sont plus stockées localement sur vos ordinateurs au sein de votre entreprise, mais sur des serveurs distants qui sont accessibles uniquement via Internet.
La gestion des données, le fonctionnement et la maintenance du cloud sont donc délégués au fournisseur du service, ce qui permet à l’entreprise de se concentrer sur son cœur de métier.
Maîtrise du budget, réduction des coûts, simplicité d’utilisation, flexibilité, accessibilité, rapidité, amélioration de la collaboration, etc., si l’informatique en nuage a autant de succès, c’est que les avantages sont nombreux.
Cependant, la confidentialité et la sécurité de vos données restent le problème majeur de ce type de solution numérique. C’est pour remédier à cela que l’ANSSI a créé un référentiel d’exigences qui s’adresse aux fournisseurs de cloud computing : SecNumCloud.
Qu’est-ce que le référentiel SecNumCloud ?
Créé en 2016 et actualisé en 2018, SecNumCloud est le label de confiance de l’ANSSI, et n’est autre qu’une version évoluée du référentiel Secure Cloud de 2014.
Il s’agit d’un ensemble de règles, d’exigences et de recommandations que doivent respecter les prestataires qui souhaitent obtenir une qualification de leurs services dans le domaine de l’informatique en nuage.
Selon l’ANSSI, le référentiel SecNumCloud « permet au commanditaire de disposer de garanties sur les compétences du prestataire et de son personnel, sur la qualité de sa prestation et sur la confiance que le commanditaire peut accorder au prestataire. »
La qualification SecNumCloud concerne les trois activités suivantes :
- La fourniture de services Saas (Software as a service) : l’application ou le logiciel (outils collaboratifs, logiciels de gestion de projet, CRM, messageries, etc.) que l’entreprise utilise n’est pas installé sur ses ordinateurs mais hébergé sur une plateforme partagée. En tant qu’utilisateur, l’entreprise ne maîtrise pas l’aspect technique (c’est le prestataire qui s’en charge), mais elle peut effectuer quelques paramétrages.
- La fourniture de services PaaS (Platform as a service) : conçu pour les développeurs ou les entreprises de développement, ce service leur fournit un environnement de développement et de déploiement qui prend en charge l’intégralité du cycle de vie de l’application web, de la conception au déploiement, en passant par les tests, la gestion et la mise à jour. L’entreprise maîtrise totalement l’installation, la configuration et l’utilisation des applications qu’elle développe, et le fournisseur de services cloud s’occupe du reste.
- La fourniture de services IaaS (Infrastructure as a service) : le prestataire fournit à l’entreprise une infrastructure et des ressources informatiques externalisées (serveurs, stockages, mémoire, réseaux, etc.) lui permettant d’installer et de gérer ses propres logiciels, systèmes d’exploitation, intergiciels (middleware) et applications. Le fournisseur de service se charge de la maintenance et du backup.
Le référentiel SecNumCloud s’appuie sur la norme ISO 27001 et ses différentes exigences sont réparties dans une dizaine de catégories telles que l’organisation de la sécurité de l’information, la sécurité des ressources humaines, la gestion des actifs, le contrôle d’accès, la cryptologie, la sécurité des communications, la gestion des incidents, etc.
Cependant, le document précise que « les recommandations sont données à titre de bonnes pratiques et ne font pas l’objet de vérification pour obtenir la qualification. »
Source : le référentiel SecNumCloud.
A qui s’adresse la qualification ?
La qualification SecNumCloud s’adresse à toutes les entreprises qui fournissent l’une des trois activités citées précédemment : SaaS, PaaS et IaaS. Bref, à tous les prestataires de services cloud computing.
Les bénéfices
La qualification SecNumCloud permet de rassurer les utilisateurs qui sont de plus en plus inquiets pour la protection de leurs données. Elle les aide à choisir plus facilement leur prestataire de cloud computing.
Le respect des exigences du référentiel SecNumCloud est un moyen efficace de :
- garantir un niveau de sécurité optimal,
- assurer que tout incident sera détecté en temps réel et qu’il aura des conséquences très limitées pour les entreprises,
- assurer que les données sont chiffrées et cloisonnées,
- garantir que des moyens visant à minimiser les risques de sinistres physiques (incendie, dégât des eaux, etc.) et naturels (risques climatiques, inondations, séismes, etc.) sont mis en œuvre,
Ce label reconnu par l’Etat est un gage de confiance qui permet aux fournisseurs de services d’informatique en nuage de prouver concrètement qu’ils adhèrent au plus haut niveau de sécurité du secteur et qu’ils ont adopté les bonnes pratiques requises.
La qualification SecNumCloud permet également de prouver que le prestataire respecte bien les exigences du RGPD. Elle est à ce jour la qualification qui garantir le meilleur niveau de sécurité et de protection technique en France et en Europe.
Pourquoi choisir une solution qualifiée SecNumCloud ?
L’intérêt de choisir une solution qualifiée SecNumCloud, c’est d’avoir la garantie que la confidentialité et l’intégrité de vos données seront bien protégées. L’ANSSI recommande aux entreprises traitant des données sensibles, aux opérateurs d’importance vitale (OIV) ainsi qu’aux organismes d’État soumis à des règles de confidentialité très strictes d’opter pour des solutions qualifiées SecNumCloud.
Le SecNumCloud et la norme ISO 27001 sont complémentaires, mais le SecNumCloud se veut plus précis et spécifique car il prend en compte tous les aspects du cloud afin de garantir que l’ensemble des processus soit fiable et sécurisé à tous les niveaux : technique, physique, organisationnel et contractuel.
Cette qualification est au coeur de la stratégie Cloud au Centre du gouvernement. En effet, les administrations du secteur public auront l’obligation de travailler avec un acteur qualifié SecNumCloud et auront 12 mois pour migrer vers celui-ci à partir du moment où une alternative existe.
Wimi en cours de qualification
Parce que la protection de vos données a toujours été une priorité pour Wimi, nous nous sommes lancés le 24 avril 2020 afin d’obtenir la qualification SecNumCloud et être reconnu comme une solution de cloud computing hautement sécurisée. Le 29 septembre dernier, nous avons obtenu notre jalon J0, la première étape pour être qualifié. Le processus de qualification se poursuit…
Wimi sera la première offre collaborative qualifiée en France.