SecNumCloud : le référentiel ANSSI sur les Cloud de confiance publié

Décidément, l’activité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ne faiblit pas en cette fin d’année. Après les arrêtés sectoriels sur les OIV, dont 3 ont été publiés la semaine dernière, l’agence vient de rendre public son référentiel sur l’informatique en nuage, c’est-à-dire le Cloud. Et vise la qualification des prestataires de Cloud.

Guillaume Poupard, directeur général de l’ANSSI, avait indiqué à l’occasion des Assises de la sécurité à Monaco que ce référentiel serait publié à la fin de l’année. Le pari est donc tenu avec, au passage, un nouveau nom de baptême pour le référentiel : SecNumCloud. Il remplace Secure Cloud qui avait été lancé de manière expérimentale en septembre 2014 et qui avait permis de tester ces exigences de sécurité auprès des entreprises Cloud. Des évaluations ont été menées par 3 centres d’audits entre mars 2015 et novembre 2016 afin de finaliser le référentiel.

Norme ISO 27001 et exigences de localisation

On peut d’ailleurs le décliner au pluriel, car il y aura en tout deux référentiels. Le premier, publié aujourd’hui, est référencé comme « essentiel » et qualifie le prestataire Cloud comme étant, « à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client ». Le second sera dénommé « avancé » et se traduira par des exigences supplémentaires pour les prestataires. « Il correspond à un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité », peut-on lire sur le document de l’ANSSI transmis au Premier Ministre. Ce référentiel avancé sera publié prochainement.

SecuNumCloud Essentiel comprend 19 chapitres. Il s’inspire largement de la norme ISO 27001 et couvre l’ensemble des prestations de Cloud, à savoir IaaS, SaaS et PaaS. On retrouve ici l’obligation de respecter les orientations du guide de la bonne hygiène informatique de l’ANSSI : contrôles d’accès physiques, authentification forte avec mots de passe hachés et salés, chiffrement logiciel. L’agence exige, en plus, un hébergement des données en Europe, ainsi qu’un support de premier niveau et un service client en ligne en langue française. A noter que pour le référentiel SecuNumCloud Avancé, la localisation des datacenters en France sera un impératif (tout comme une authentification multi-facteurs et un chiffrement matériel via HSM).

Les GAFAM en embuscade

Un message à l’attention des acteurs américains comme Google, Amazon ou Microsoft très actifs sur le Cloud public et le SaaS. Guillaume Poupard s’en était ouvert à Monaco : « les Cloud des GAFAM (soit les GAFA plus Microsoft, NDLR) sont les bienvenus, mais ils doivent respecter les règles ». Microsoft et AWS ont déjà partiellement répondu au régulateur en annonçant pour 2017 l’ouverture de datacenters en France. Sur le plan des Cloud nationaux, les premiers à avoir joué le rôle de bêta-testeurs sur les deux types de qualifications sont Oodrive, pour ses offres iExtranet, PostFile et BoardNox (partage de fichiers), Vendôme Solutions, sur l’offre IaaS de PRA (sur la partie Avancé), et Orange Business Service, pour l’offre de stockage Flexible Storage (sur la partie Essentiel).

Nul doute que cette liste devrait s’agrandir avec la publication du référentiel. Certains sont déjà prêts, comme Outscale. Son Pdg, Laurent Serror, nous avait indiqué il y a quelques mois : « étant donné que nous sommes déjà certifiés ISO 27 001, je considère que nous sommes prêts. Ne pas être certifié juste au moment de la sortie du référentiel ne sera pas pénalisant compte tenu de la longueur des cycles de décision ».

Assises de la sécurité 2016 : l’urgentiste Poupard prescrit ses remèdes