Prestataires de services d’informatique en nuage (SecNumCloud) référentiel d’exigences – niveau Essentiel, 8 décembre 2016

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié, le 8 décembre 2016, une version finalisée du référentiel d’exigences « niveau Essentiel » applicable aux prestataires de services d’informatique en nuage appelé « SecNumCloud » qui remplace le « Secure Cloud » qui avait été mis en place en septembre 2014 de manière expérimentale.

Ce référentiel s’appuie largement sur la norme internationale ISO27001 et couvre les activités SaaS, PaaS et IaaS. Ce référentiel qui correspond à « un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client » sera complété par un second document de « niveau Avancé » qui concernera les incidents ayant une conséquence importante pour le client.

Parmi les 19 chapitres du référentiel (gestion des actifs, cryptologie, sécurité physique, sécurité liée à l’exploitation…), on trouve l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne (point 19.2 du référentiel) ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité et de l’information et l’appréciation des risques ; cette révision devra également se faire à chaque changement majeur pouvant avoir un impact sur le service concerné. Le référentiel prévoit également que le prestataire doit s’assurer que les interfaces du service sont accessibles au client en langue française et doit fournir un support de premier niveau en langue française.

Quelques jours seulement après la publication de ce référentiel, l’ANSSI et le BSI en Allemagne ont officialisé la création d’une nouvelle certification européenne « ESCloud ». Pour le moment ce certificat ne concerne que la France et l’Allemagne, mais sera étendu aux Etats membres de l’Union européenne souhaitant le rejoindre. Il s’agit en effet d’un regroupement entre le SecNumCloud français et son équivalent en Allemagne le C5 et constitue un excellent exemple de coopération au sein de l’Union européenne créant une base commune pour la confiance numérique.

Pour rappel, la coopération et l’harmonisation des mesures de sécurité informatique constituent les principaux objectifs de la directive NIS (« Network and Information Security ») adoptée le 6 juillet 2016, laquelle désigne particulièrement les acteurs du Cloud.

L’ANSSI a été désignée pour assurer la transposition de cette directive en France avant le 9 mai 2018 et l’on peut donc imaginer qu’une telle certification sera évidemment liée aux prescriptions de la Directive NIS.