SecNumCloud et ISO / IEC 27001 :
Quelle norme pour la sécurité du Cloud ?
Avec la révolution numérique, le monde digital a vu la quantité de données traitées augmenter de manière exponentielle. Ces données sont aujourd’hui devenues l’une des principales richesses des entreprises.
Compte tenu de ces contraintes, les entreprises font de plus en plus appel à des services en nuage, ou Cloud, qui présentent plusieurs avantages distincts par rapport à l’infrastructure traditionnelle : citons en particulier un déploiement rapide, à grande échelle, des ressources informatiques, la flexibilité associée à ces services, ou encore la maitrise des coûts.
Bien souvent, la question n’est plus de savoir « si » le virage vers le cloud doit être amorcé, mais plutôt « comment » : il s’agit là d’une décision stratégique et cruciale pour la gestion effective des données. Néanmoins, cette dernière doit s’accompagner d’un maximum de garanties quant à la protection des données.
C’est pour cette raison que l’ANSSI a mis en place le référentiel SecNumCloud qui représente une garantie de sécurité optimale des solutions Cloud. Ce référentiel se base notamment sur la norme ISO/IEC 27001, est aujourd’hui la référence dans le monde des normes de sécurité, en y intégrant des spécificités techniques et législatives. Dans ce contexte, quelques questions se posent :
Qu’est-ce que le référentiel SecNumCloud ? Quelles sont ses similitudes et différences avec la norme ISO/IEC 27001 ? De quelle manière une certification ISO/IEC 27001 peut-elle accompagner la mise en conformité avec le référentiel SecNumCloud ?
| Qu’est-ce que le référentiel SecNumCloud ?
En 2016, l’Agence Nationale de la Sécurité des Systèmes d’Information dévoilait son label SecNumCloud. Il s’agissait d’une version évoluée du référentiel Secure Cloud (2014), visant à améliorer la protection des données et à apporter de la confiance quant au niveau de sécurité dans les solutions Cloud. Le 
référentiel SecNumCloud comportait 2 niveaux de qualification, définit comme tels par l’ANSSI :
- Niveau Essentiel : “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”.
- Niveau Avancé : “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence importante pour le client, voire pourrait mettre en péril sa pérennité”.
Il est à noter que dans sa dernière version, le référentiel ne comporte plus qu’un seul niveau.
Le référentiel SecNumCloud contient 225 exigences destinées aux prestataires de services Cloud. Ces exigences sont réparties sur 13 chapitres, calqués sur l’organisation des normes 27001 et 27002.
Chaque chapitre traite un sujet de sécurité (technique, physique, organisationnel et contractuel) dans le but d’allier la sécurité proactive et les exigences de réactivité.
La qualification SecNumCloud implique un engagement de l’état (d’une durée de 3 ans) à valider la fiabilité d’un prestataire de service Cloud. L’obtention de cette qualification exige la réalisation d’audits de surveillance tous les 18 mois par des prestataires qualifiés PASSI.
| Quelles sont les similitudes et différences avec la norme ISO/IEC 27001 ?
L’ISO/IEC 27001 est la norme internationale de référence pour l’organisation et le management de la Sécurité de l’Information. Être certifié ISO/IEC 27001 démontre qu’une organisation suit les meilleures pratiques en matière de sécurité de l’information et fournit une évaluation indépendante et experte des dispositifs de protection des données. Cette norme est soutenue par un guide de bonnes pratiques ISO/IEC 27002.
La norme, tout comme le référentiel SecNumCloud, se concentre sur les risques associés à la perte de confidentialité, d’intégrité et de disponibilité des données. Ces deux supports comportent un examen systématique des risques qui tient compte des menaces, des vulnérabilités et des impacts. Cet examen est accompagné de plusieurs contrôles de sécurité afin de traiter les risques jugés inacceptables.
La différence majeure réside dans la finalité et le cadre de la norme : l’ISO/IEC 27001 vise à fournir un socle organisationnel et a été conçue pour permettre aux organisations de définir des pratiques leur permettant de mettre en place un système de gestion de la sécurité de l’information. Puisqu’elle se veut généraliste et applicable à tous les types d’organisations, elle ne s’accompagne d’aucune préconisation ou solution technique, ni de spécificités applicables au Cloud. En revanche, le SecNumCloud adresse directement la sécurité des services sur tous les aspects Cloud, à la fois sur les politiques, les infrastructures et les produits. Il se veut donc plus précis et spécifique.
Le SecNumCloud apporte également sa propre philosophie d’amélioration de la sécurité des solutions Cloud pour faire en sorte que les fournisseurs continuent d’apporter les meilleures garanties de confidentialité et de protection des données sensibles, à la fois d’un point de vue technique, physique, organisationnel mais aussi contractuel.
Ainsi, la norme ISO/IEC 27001 et le SecNumCloud sont extrêmement complémentaires : le SecNumCloud fournit des exigences techniques et précises, et l’ISO 27001 permet de construire un cadre et une organisation propice à leur définition, mise en œuvre, et maintenance.
Au-delà de ces exigences, Le SecNumCloud vise enfin la mise en place de Cloud souverains français. Cela apparaît par le biais d’exigences complémentaires sur la localisation, la régionalisation, l’engagement de service et la protection des données personnelles (e.g. RGPD).
Quelques exemples d’exigences franco-européennes présentes dans le référentiel :
- Les données doivent être traitées et stockées au sein de l’UE
- Les opérations d’administrations/ supervision doivent être réalisés sur le sol européen
- L’engagement des CSP en termes de suppression sécurisée de l’intégralité des données du client
| Conclusion
Ces deux normes ont beaucoup de points communs. Les deux visent à renforcer la protection du patrimoine informationnel et à diminuer le risque d’atteinte à la sécurité de la donnée.
Toutefois, le SecNumCloud a une compréhension plus fondamentale de la protection des données des clients CSP, du respect de la vie privée des personnes et peut contribuer à adresser les inquiétudes liées au Cloud de certaines organisations. En revanche, ce référentiel peut grandement profiter de l’implémentation de la norme 27001, mais également les normes qui en sont issues, telles que l’ISO 27017 (Guide de mise en œuvre des contrôles de la norme 27002 dans le Cloud) et ISO 27018 (Protection des données personnelles dans le cloud) pour faciliter sa mise en œuvre et toucher un périmètre plus large (hors France).
Finalement, ce référentiel peut-il représenter une première étape vers une future norme européenne ?
| Références :
« Cyber-sécurité : le référentiel SecNumCloud sur un petit nuage | LinkedIn ». https://www.linkedin.com/pulse/cyber-s%C3%A9curit%C3%A9-le-label-secnumcloud-sur-un-petit-nuage-benoit-pellan/.
« SecNumCloud : comment l’État s’engage auprès des OIV pour renforcer la sécurité des données sensibles ». https://www.journaldunet.com/solutions/expert/71086/secnumcloud—comment-l-etat-s-engage-aupres-des-oiv-pour-renforcer-la-securite-des-donnees-sensibles.shtml.
« SecNumCloud évolue et passe à l’heure du RGPD ». https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/.
« SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ? » usine-digitale.fr.
« SecNumCloud : le label de confiance de l’ANSSI, une réponse aux besoins conformité des entreprises ? | LinkedIn ».
« SecNumCloud, le référentiel de l’ANSSI pour les offres de Cloud Computing ». https://www.solutions-numeriques.com/secnumcloud-le-referentiel-de-lanssi-pour-les-offres-de-cloud-computing/.
« SecNumCloud.pdf ».
https://www.securitecloud.com/wp content/uploads/formations/SecNumCloud.pdf
« Normes sécurité dans le cloud : à quel saint se vouer ? » EuroCloud France (blog), 27 mai 2015. https://www.eurocloud.fr/normes-securite-dans-le-cloud-a-quel-saint-se-vouer/.
« RGPD et ISO 27001 mapping : la norme ISO 27001 est-elle suffisante pour assurer la conformité à RGPD ? » Netwrix Blog (blog). Consulté le 26 août 2019. https://blog.netwrix.fr/2018/05/17/rgpd-et-iso-27001-mapping-la-norme-iso-27001-est-elle-suffisante-pour-assurer-la-conformite-a-rgpd/.
« SecNumCloud, le référentiel de l’ANSSI pour les offres de Cloud Computing ». Informatique (blog), 20 mai 2019. https://www.solutions-numeriques.com/secnumcloud-le-referentiel-de-lanssi-pour-les-offres-de-cloud-computing/.
