Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.
SecNumCloud : une qualification de sécurité
En 2016, l’ANSSI (Agence nationale de la sécurité des systèmes d’informations) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Les catégories d’audit et exigences
Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.
Cette qualification atteste donc à la fois de :
- l’excellence technique du prestataire certifié
- la rigueur organisationnelle
- et sa conformité aux réglementations en vigueur
Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
SecNumCloud au cœur des débats sur l’EUCS et la loi SREN
La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.
Par ailleurs, la suppression du critère de souveraineté du projet de schéma de certification européen EUCS a provoqué l’indignation de nombreux pays de l’UE. La France s’élève pour que la certification SecNumCloud soit intégrée dans le niveau le plus élevé de la certification EUCS.
Pourquoi choisir un opérateur qualifié SecNumCloud ?
Minimiser les risques de sécurité
L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque, pour offrir des garanties fortes en matière de continuité d’activité et de disponibilité de service.
Renforcer la conformité réglementaire
Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français, et limite les risques d’espionnage industriel.
Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.
TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud
Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.
Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français non soumise aux ingérences internationales.