Pourquoi SecNumCloud est un gage de confiance pour les DSI et RSSI ?

Choisir des solutions qualifiées SecNumCloud, bientôt un réflexe ? La localisation des datacenters est le critère le plus important pour les DSI et RSSI lorsqu’ils se penchent sur la question de l’hébergement de leurs données. Cette tendance ressort d’une enquête menée par Oodrive fin 2024 auprès de dirigeants IT. Savoir sur quels territoires seront hébergées leurs données sensibles, quels mécanismes de protection leur seront appliqués, comment et par qui seront accessibles les données sont des questionnements de plus en plus préoccupants pour de nombreux dirigeants IT.

Certains fournisseurs de services cloud sont en mesure de répondre aux préoccupations des organisations en matière de sécurité des données et de souveraineté, en proposant des solutions qualifiées SecNumCloud, répondant au référentiel très exigeant de l’ANSSI.

Cet article récapitule les éléments essentiels à connaître sur la qualification SecNumCloud, les garanties qu’elle apporte et les grandes étapes à avoir en tête pour se tourner vers un cloud souverain.

SecNumCloud : un cadre de référence pour un cloud de confiance

La qualification SecNumCloud est un visa de sécurité délivré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Il est attribué aux offres de services cloud (PaaS, IaaS, CaaS, SaaS) respectant un ensemble de règles en matière de sécurité des données, en conformité avec le droit européen.

Les offres qualifiées SecNumCloud répondent à un haut niveau d’exigence, à la fois du point de vue technique, opérationnel et juridique.Une version actualisée du référentiel (SecNumCloud 3.2) a été publiée par l’ANSSI en 2022.

La qualification SecNumCloud constitue un repère essentiel pour les entités – à la fois publiques et privées – souhaitant confier l’hébergement de leurs données, applications ou systèmes d’information à des fournisseurs de services cloud. Ces entités peuvent alors se tourner vers des partenaires de confiance et assurer un niveau de protection optimal pour leurs données les plus sensibles. Recourir à des solutions qualifiées SecNumCloud est d’ailleurs une obligation pour certaines entités évoluant dans des secteurs d’activité considérés comme critiques et pour celles qui sont soumises à la doctrine « Cloud au centre ».

Migrer vers un cloud de confiance : les grandes étapes

Migrer ses données les plus sensibles vers un cloud de confiance est devenu une stratégie indispensable pour les organisations manipulant des données sensibles.

1. Cartographier son infrastructure de données

La cartographie constitue la première étape de toute migration vers un cloud de confiance. Elle consiste à identifier précisément où se trouvent les données sensibles de l’organisation et qui y a accès. L’étape de cartographie doit également prendre en compte le cycle de vie de la donnée : comment est-elle créée, partagée, co-éditée, etc.

2. Classifier les données en fonction de leur niveau de sensibilité

Il est ensuite nécessaire de travailler sur la classification des données, ce qui implique de se mettre d’accord sur les données considérées comme sensibles : données personnelles, informations stratégiques, propriété intellectuelle, données de sécurité informatique, etc.

Différentes méthodes de classification des données existent pour déterminer le niveau de sensibilité des données. Certaines recommandent de prendre en compte l’impact potentiel du risque encouru en cas d’atteinte aux données, le niveau de confidentialité ou encore le type de données.

SecNumCloud : label de confiance

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

En savoir plus

3. Transférer les données sensibles vers des solutions qualifiées SecNumCloud

Une fois la classification des données effectuée, les entités peuvent transférer leurs données les plus sensibles vers des solutions qualifiées SecNumCloud. Ces données seront protégées contre les lois extraterritoriales, le référentiel de l’ANSSI agissant comme un rempart.

Les collaborateurs travaillent alors au sein d’un environnement sécurisé et souverain, conciliant à la fois les impératifs de productivité avec les enjeux de protection des données.

Cas concret : les recommandations du Groupe La Poste pour réussir sa transition vers un cloud souverain

Afin de répondre aux enjeux de protection de ses données sensibles, le Groupe La Poste (plus de 200 000 collaborateurs) a défini 5 niveaux de classification (C0 à C4). Environ 20 % des données relèvent des niveaux C3 et C4, considérés comme les plus sensibles.

Le Groupe La Poste a élaboré une politique de gestion des données définissant le niveau de sensibilité des différents types de documents (contrat avec un prestataire, bulletin de salaire, etc.). Une étape essentielle, mais néanmoins délicate. L’inventaire des données présentes dans le système d’information doit être réalisé métier par métier (le métier étant responsable du niveau de classification), direction par direction.

Le travail de classification et d’inventaire a été suivi par une analyse de risques pour chaque niveau de sensibilité et catégorie d’actif. L’objectif : identifier les risques et les menaces pesant sur chaque actif, puis déterminer les besoins de sécurité et définir des mesures appropriées.

Le Groupe La Poste conseille d’adopter une stratégie différenciée en fonction du niveau de sensibilité des données. En pratique, les données C0 à C2 peuvent être hébergées chez Microsoft, prestataire principal du groupe. En revanche, pour le stockage des données C3 et C4, le groupe a choisi Oodrive, prestataire de confiance offrant des solutions cloud souveraines qualifiées SecNumCloud.

La mise en œuvre de cette politique de gestion des données nécessite un important travail quotidien de sensibilisation, l’objectif étant que chaque collaborateur puisse déterminer correctement la classification de ses documents.

Résultats

Cette approche a permis au Groupe La Poste de répondre à plusieurs enjeux :

• Collaborer de manière sécurisée sur des données sensibles.
• Créer, éditer et partager des données sensibles sans risque de fuites de données.
• Gérer les réunions sensibles (Comex, Conseil d’administration) en toute sécurité.
• Obtenir une meilleure maîtrise de son patrimoine informationnel.

Souveraineté numérique : faisons le point

Découvrez les enjeux et bonnes pratiques autour de la souveraineté numérique du Groupe La Poste.

En savoir plus

SecNumCloud : quels avantages concrets pour les DSI et RSSI ?

Le référentiel SecNumCloud apporte différents types de garanties aux DSI et RSSI.

Meilleure identification des fournisseurs cloud de confiance

Partir à la recherche d’un prestataire de confiance pour la gestion de ses données sensibles implique de devoir choisir entre de nombreuses offres, toutes se disant sécurisées, et certaines revendiquant même d’être « en route vers la qualification SecNumCloud ». Évaluer seul leur niveau de sécurité, de robustesse et de confiance peut s’avérer long et fastidieux.

La qualité des solutions cloud qualifiées SecNumCloud est évaluée par des experts neutres et indépendants. Les organisations peuvent donc se référer à ce label pour faire leur choix de prestataire.

Conformité renforcée aux exigences réglementaires

En choisissant des solutions qualifiées SecNumCloud, les DSI et RSSI évoluant dans des secteurs considérés comme critiques facilitent leur conformité réglementaire. Certaines réglementations imposent en effet de recourir à des solutions qualifiées. La doctrine « Cloud au centre » de l’État impose par exemple aux administrations d’opter pour des solutions SecNumCloud pour l’hébergement de leurs données sensibles.

Meilleure visibilité et meilleure sécurité des données

L’étape de classification des données permet de gagner en visibilité, d’obtenir une vision claire sur le degré de sensibilité des données au regard du contexte de l’organisation et du cadre réglementaire qui s’impose à elle.

D’autre part, le recours à des solutions qualifiées SecNumCloud réduit les risques de fuite de données, de compromission, de vol de données ou encore d’indisponibilité du SI.

Garantie contre les lois extraterritoriales

Le référentiel SecNumCloud garantit une protection stricte contre les lois extraterritoriales. La version SecNumCloud 3.2 a d’ailleurs renforcé cette protection. Les fournisseurs dont le siège social est établi hors de l’UE, ou dont l’actionnariat est majoritairement non européen, ne sont plus éligibles à la qualification.