Définition et présentation du label SecNumCloud
SecNumCloud est une qualification de sécurité élaborée par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. Elle concerne les opérateurs cloud, proposant des services en Saas (Software as a service) mais aussi PaaS (Platform as a Service), CaaS (Container as a Service) ou encore IaaS (Infrastructure as a Service). Elle s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Le référentiel SecNumCloud y ajoute de nouvelles exigences spécifiques aux acteurs cloud.
Un prestataire qualifié SecNumCloud atteste ainsi que son système respecte les bonnes pratiques en matière de sécurité listées dans le référentiel. La conformité de son système a été vérifiée par des prestataires d’audit également approuvés par l’ANSSI. La qualification est valide pour une durée de trois ans.
L’obtention du label SecNumCloud correspond de fait à une recommandation d’utilisation de ce service par l’Etat français. Cela permet notamment d’être retenu pour une utilisation par certains services de l’Etat, des ses opérateurs ou des collectivités locales.
Trouver un prestataire labellisé SecNumCloud
Une liste gérée par l’ANSSI est consultable en ligne à l’adresse suivante : https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf
Obtenir le label SecNumCloud
Avant d’envisager une qualification SecNumCloud, la certification ISO 27001 peut constituer une première étape.
Ensuite, un important travail de documentation des process et de segmentation du réseau doit être mené. Les exigences du référentiel sont nombreuses, de la sécurité physique des locaux à l’habilitation des personnels.
Le processus de qualification est disponible ici : le processus de qualification .
Enfin, l’ANSSI met à disposition une FAQ sur le sujet.