SecNumCloud : comment l’État s’engage auprès des OIV pour renforcer la sécurité des données sensibles

Face à la recrudescence des cyberattaques – en 2018, 42 % des entreprises dans le monde ont été victimes d'un logiciel malveillant de chiffrement – la seule certification ISO 27001 et le RGPD ne suffisent pas à protéger efficacement les données sensibles.

La qualification SecNumCloud, label de confiance de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), avec le haut niveau de sécurité technique et juridique qu’elle garantit, s’impose comme la référence en matière de sécurité et le pilier d’une réelle souveraineté numérique.

Quelle est la principale différence entre une certification de type ISO et une qualification ? Si la norme ISO 27001 permet de mettre en place l’organisation nécessaire pour apporter la sécurité, le référentiel SecNumCloud hisse cette sécurité des services au niveau le plus élevé connu dans le domaine du Cloud Computing à la fois sur le produit, les infrastructures et les procédures. Délivrée par l’ANSSI – l’Agence Nationale pour la Sécurité des Systèmes d’Information – pour une durée de trois ans, la qualification implique la réalisation d’audits de surveillance tous les 18 mois. Avec le SecNumCloud, c’est donc l’État lui-même qui s’engage, renforçant ainsi la confiance et la transparence indispensables à un Organisme d’Importance Vitale (OIV).

 La réponse aux enjeux « vitaux »

Ce très haut niveau de sécurité recouvre en effet des enjeux critiques pour les OIV, "ces opérateurs publics ou privés qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation". Parmi les secteurs identifiés, celui des "Communications électroniques, audiovisuel et information" se trouve en première ligne en matière de cybersécurité et de protection des données sensibles. C’est pourquoi, face à la recrudescence et à la violence actuelle des attaques en ligne et des actes de piratage, l’ANSSI accompagne les OIV dans la sécurisation de leurs systèmes d’information sensibles. En réponse, la qualification SecNumCloud apporte les meilleures garanties de confidentialité et de protection des données sensibles, à la fois d’un point de vue technique mais aussi juridique. Elle permet alors aux OIV de répondre à leurs obligations vis-à-vis de l’État en faisant la démonstration d’un haut niveau de sécurité. 

Le SecNumCloud, point d’ancrage de la souveraineté numérique

Pourquoi un tel niveau de sécurité ? Parce que la localisation des données sur le sol français ne suffit pas à protéger les données « critiques » : le fournisseur doit également prendre un certain nombre d’engagements de service et de confidentialité. Ce point légal de la sécurité numérique est clé – ainsi que la nationalité, préférablement française ou européenne, du fournisseur (une société de maison mère américaine sera de facto soumise aux lois américaines : Patriot Act, Cloud Act…). Fortement recommandées par l’ANSSI, les solutions qualifiées SecNumCloud s’adressent ainsi à toute entreprise manipulant des données sensibles, et tout particulièrement les OIV et organismes d’État soumis à des règles de confidentialité très strictes.

Détection en temps réel des incidents de sécurité, chiffrement des données à travers des modules de sécurité matériel labelisés ANSSI, pratiques de Privacy by Design intégrées nativement, conformité aux exigences du RGPD relatives à la protection des données, cloisonnement des traitements de données des clients, contrôle d’accès et gestion des identités renforcés, durcissement de la sécurité physique avec la mise en place de zones privées contrôlées… Le SecNumCloud allie sécurité proactive et exigences de réactivité. Pour les utilisateurs, c’est l’assurance d’une fiabilité optimale de l’ensemble des processus, technologiques comme humains, et ce tout au long de la chaîne. Au-delà de cette garantie de confidentialité et de conformité règlementaire, le référentiel devient gage d’une transparence et d’une confiance renforcées à tous les niveaux de sécurité physique, organisationnelle et contractuelle. Voilà comment le SecNumCloud s’impose comme la seule barrière efficace face au Cloud Act mais également face à la nécessité de rétablir la confiance entre utilisateurs et fournisseurs.

La 1re étape vers un référentiel européen

La France est ainsi le 1er pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité des infrastructures critiques. L’Allemagne propose elle aussi un label mais à un niveau moins opérationnel. C’est pourquoi il importe désormais de travailler à la reconnaissance au niveau européen de la qualification SecNumCloud et d’en faire la référence sur le Vieux Continent pour lutter efficacement contre toute tentative de récupération des données.

 

Un groupe de travail constitué de représentants de l’ANSSI, d’experts et de prestataires de services accompagne d’ores et déjà l’ENISA (ANSSI au niveau européen) dans la création d’un label européen pour la sécurité du Cloud. Objectif : proposer aux entreprises – et donc au final à leurs consommateurs – des solutions qualifiées techniquement et juridiquement qui hébergeront leurs données sensibles dans un cloud protégé et au bon niveau. Voilà comment nous atteindrons une réelle souveraineté numérique, associée à une confiance et une transparence renforcées.