Élaboré en 2016, la qualification SecNumCloud de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’adresse aux hébergeurs de données prestataires de services cloud et valorise l’aptitude à atteindre un niveau de sécurité élevé. Cette qualification atteste de la robustesse et de la qualité d’une offre de service cloud ainsi que de l’expertise et la confiance apportée par l’opérateur.
Les prestataires peuvent demander la qualification pour différents types de services cloud :
- IaaS (Infrastructure as a Service)
- CaaS (Containers as a Service)
- PaaS (Platform as a Service)
- SaaS (Software as a Service)
Le référentiel d’exigences SecNumCloud est structuré avec les mêmes chapitres que la norme ISO/IEC 27002 version 2013 repris dans l’Annexe A de la norme ISO/IEC ISO 27001. SecNumCloud s’inscrit en pleine cohérence avec les travaux européens dans le cadre du Cybersecurity Act et sert de référence dans les travaux sur le niveau « élevé » d’une future certification européenne.
Actualisé en mars 2022 dans sa version 3.2, le référentiel SecNumcloud intègre désormais des critères de protection vis-à-vis du droit extra-européen. Cette réactualisation témoigne de la qualité et de la robustesse de cette qualification.
Le processus de qualification SecNumCloud suit le processus de qualification d’un service de l’ANSSI et contient différents jalons dont un jalon préalable « J0 » qui concerne la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0.