La qualification SecNumCloud de l’ANSSI s’adresse aux prestataires de services cloud souhaitant démontrer un niveau de sécurité parmi les plus élevés du marché. Cette qualification est en phase avec les attentes des Organismes d’Importance Vitale.
Liée à un Visa de Sécurité, elle est la prestation d’excellence des services cloud. Basée sur la structure de la norme ISO/IEC 27001, ce référentiel s’inscrit dans la stratégie nationale française pour un cloud de confiance et le Cybersecurity Act de l'Union Européene.
Élaboré en 2016, la qualification SecNumCloud de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’adresse aux hébergeurs de données prestataires de services cloud et valorise l’aptitude à atteindre un niveau de sécurité élevé. Cette qualification atteste de la robustesse et de la qualité d’une offre de service cloud ainsi que de l’expertise et la confiance apportée par l’opérateur.
Les prestataires peuvent demander la qualification pour différents types de services cloud :
Le référentiel d’exigences SecNumCloud est structuré avec les mêmes chapitres que la norme ISO/IEC 27002 version 2013 repris dans l’Annexe A de la norme ISO/IEC ISO 27001. SecNumCloud s’inscrit en pleine cohérence avec les travaux européens dans le cadre du Cybersecurity Act et sert de référence dans les travaux sur le niveau « élevé » d’une future certification européenne.
Actualisé en mars 2022 dans sa version 3.2, le référentiel SecNumcloud intègre désormais des critères de protection vis-à-vis du droit extra-européen. Cette réactualisation témoigne de la qualité et de la robustesse de cette qualification.
Le processus de qualification SecNumCloud suit le processus de qualification d’un service de l’ANSSI et contient différents jalons dont un jalon préalable « J0 » qui concerne la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0.
Peuvent être éligibles à la qualification les fournisseurs de services cloud (IaaS, CaaS, PaaS ou SaaS) qui complètent un formulaire de demande de qualification d’un service et valident cette phase applicative (jalon 0) auprès de l’ANSSI.
Vous remplissez un formulaire de demande disponible sur le site de l’ANSSI afin que votre candidature soit validée (jalon 0).
L’équipe d’audit établit, suite à un échange préalable, une stratégie d’évaluation (plan d’audit) à partir de votre contexte (jalon 1).
Déroulé de l’audit sur site conformément à la stratégie d’évaluation définie préalablement (jalon 2).
Réalisation d’un rapport d’évaluation qui devra être validé par l’ANSSI lors d’une réunion formelle.
L’ensemble des critères de qualification respectés, l’ANSSI octroie la qualification et vous autorise à afficher un Visa de Sécurité.
Audit de maintien tous les ans et un audit de renouvellement tous les 3 ans.
Quel que soit le secteur d’activité, votre système d’information est au cœur de votre activité. La certification ISO 27001 en garantit sa protection, ...
La certification HDS est une obligation réglementaire qui s’adresse aux prestataires d’hébergement de données de santé à caractère personnel. Les 6 ...
Vous êtes une entreprise ou une collectivité, vous souhaitez réaliser des économies d’énergie et plus largement améliorer votre performance ...
