SecNumCloud : ce que l’ANSSI veut changer

SecNumCloud ANSSI 2021

Cryptologie, sauvegarde, télémaintenance, conformité, lois extracommunautaires… Comment l’ANSSI entend-elle faire évoluer le référentiel SecNumCloud ?

Bientôt un nouveau SecNumCloud ? Non, mais une évolution substantielle. L’ANSSI vient de la soumettre à consultation publique. Date de clôture : le 15 novembre 2021.

La dernière mise à jour du référentiel (version 3.1) remonte à juin 2018. Elle avait principalement consisté en une mise en conformité avec le RGPD.
Cette fois, il s’agit, en particulier, d’expliciter la question de l’immunité aux lois extracommunautaires. C’est l’objet d’un nouvel alinéa (19.6) qui définit des critères pour les prestataires. Entre autres :

– Siège statutaire, administration centrale ou établissement principal établi au sein d’un État membre de l’Union européenne

– Dans le cas où des entités tierces localisées hors UE possèderaient du capital social et droits de vote, pas de détention individuelle à plus de 24 % et collective à plus de 39 %

– Si recours à une société tierce (y compris sous-traitant) hors UE ou contrôlée par une entité tierce domiciliée hors UE, cette société ne doit pas avoir la compétence pratique d’obtenir les données opérées au travers du service. Y compris les données techniques qui comprennent des informations sur les commanditaires (clients).

– Ces sociétés doivent soit être qualifiées SecNumCloud, soit garantir une « autonomie d’exploitation ». C’est-à-dire la capacité à « maintenir la fourniture du service [cloud] en faisant appel aux compétences du prestataire ou en recourant à des prestations disponibles auprès d’au moins deux sociétés tierces ».

SecNumCloud s’ouvre au CaaS

Le référentiel tel que proposé ne répertorie plus trois, mais quatre activités. Au IaaS, au PaaS et au SaaS s’ajoute en l’occurrence le CaaS.

L’ANSSI y modifie quelques définitions. Dont celle du « support technique ». Essentiellement pour préciser que dans ce cadre, « aucun accès aux données des commanditaires n’est autorisé ». Elle ajoute aussi plusieurs rappels quant à la nécessité, pour le client, de réaliser des démarches d’évaluation complémentaires. Tout particulièrement une appréciation des risques.

Sur ce dernier point, le « nouveau SecNumCloud » apporte deux précisions. Le prestataire doit, d’une part, « lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable ». Et de l’autre, « mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état [sic] non-membre [sic] de l’Union Européenne [sic] ».

Support technique : des exigences renforcées

Il y a aussi des changements concernant la sécurité des ressources humaines. Plus précisément, une exigence de renforcement de la vérification des informations relatives au personnel. Ce lorsque ce personnel dispose de privilèges d’administrations élevés sur les composants logiciels et matériels de l’infrastructure du service. L’ANSSI évoque deux éléments. D’un côté, la capacité d’élévation de privilèges. De l’autre, la possibilité de désactiver ou d’altérer les traces techniques. Elle ajoute une autre exigence : introduire, dans le contrat, un engagement de responsabilité « avec un renvoi aux clauses du code [sic] du travail sur la protection du secret des affaires et de la propriété intellectuelle ».

SecNumCloud fait aussi l’objet d’une mise à jour à propos des actions de support technique qui nécessitent un accès aux données du commanditaire. Parmi les obligations imposées aux prestataires, n’autoriser l’action qu’après consentement explicite du commanditaire. Et s’assurer que la personne censée bénéficier de l’accès se trouve dans l’UE, tout en satisfaisant aux vérifications relatives au personnel (dans le cas contraire, il faudra mettre en œuvre une passerelle sécurisée, sous la forme d’un poste de rebond). Même philosophie pour les opérations de télédiagnostic et de télémaintenance. Avec une consigne supplémentaire : supprimer l’autorisation d’accès à l’issue de l’intervention.

L’ANSSI pousse la sauvegarde

L’ANSSI prévoit également une mise à niveau de SecNumCloud en matière de cryptologie. Objectif : imposer aux prestataires d’utiliser exclusivement des certificats de clé publique issus d’une autorité de certification d’un État membre de l’UE. « Les cérémonies de génération des clés maîtresses doivent avoir lieu dans un pays membre de l’Union Européenne [sic] et en présence du prestataire », est-il précisé.

On aura relevé, par ailleurs, des exigences supplémentaires en matière de contrôle des entrants (vérification de l’authenticité et de l’innocuité des mises à jour et des outils fournis). Ainsi que des sortants (infos de facturation, éventuels journaux nécessaires au traitement d’incidents…). Par exemple, la capacité à gérer des journaux d’activité et à faire l’objet d’un audit de code.

Sur la partie « Continuité d’activité », l’ANSSI ajoute deux éléments :

– Documenter et mettre en œuvre une procédure de sauvegarde hors ligne de la configuration de l’infrastructure technique

– Proposer un dispositif de sauvegarde des données du commanditaire

La convention de service devra préciser s’il existe ou non une sauvegarde automatique des données. Dans la négative, le prestataire devra sensibiliser le commanditaire aux risques encourus. Et « clairement indiquer les opérations à mener par le commanditaire pour que ses données soient sauvegardées ».

En matière de conformité, l’intervention d’un PASSI (prestataire d’audit de la sécurité des systèmes d’information) qualifié par l’ANSSI deviendrait obligatoire pour la revue de changements majeurs. Ainsi que pour l’audit préalable à l’évaluation SecNumCloud. Audit qui impliquera un test d’intrusion sur les interfaces d’administration. Et, pour le SaaS, sur les interfaces utilisateur. En plus d’un contrôle du code source des fonctionnalités de sécurité implémentées.

À noter au sujet de la fin de contrat : SecNumCloud imposerait un délai de 21 jours calendaires avant effacement des données.

Photo d’illustration © OFC Pictures – Adobe Stock